KR20170038190A - Technologies for distributed detection of security anomalies - Google Patents
Technologies for distributed detection of security anomalies Download PDFInfo
- Publication number
- KR20170038190A KR20170038190A KR1020177005493A KR20177005493A KR20170038190A KR 20170038190 A KR20170038190 A KR 20170038190A KR 1020177005493 A KR1020177005493 A KR 1020177005493A KR 20177005493 A KR20177005493 A KR 20177005493A KR 20170038190 A KR20170038190 A KR 20170038190A
- Authority
- KR
- South Korea
- Prior art keywords
- computing device
- security
- server
- trusted
- establishing
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
Abstract
보안 이상의 분산형 검출을 위한 기술은 보안 서버와 신뢰된 관계를 수립하기 위한 컴퓨팅 디바이스를 포함한다. 컴퓨팅 디바이스는 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, 하나 이상의 패킷의 보안 위협 평가를 수행한다. 컴퓨팅 디바이스는 보안 위협 평가를 보안 서버에 전송한다.The technology for distributed detection above security includes a computing device for establishing a trusted relationship with a security server. The computing device reads one or more packets of at least one of the inter-virtual network functional network or the inter-virtual network functional component network in response to establishing a trusted relationship and performs a security threat assessment of the one or more packets. The computing device sends the security threat assessment to the security server.
Description
관련 미국 특허 출원의 상호 참조Cross-reference to relevant US patent application
본 출원은 2014년 10월 13일 출원된 발명의 명칭이 "보안 이상의 분산형 검출을 위한 기술(TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES)"인 미국 특허 출원 제 14/513,140호를 우선권 주장하고, 2014년 9월 30일 출원된 발명의 명칭이 "보안 이상의 분산형 검출을 위한 기술(TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES)"인 미국 가출원 제 62/058,096호를 35 U.S.C.§119(e) 하에서 우선권 주장한다.This application claims priority to U.S. Patent Application No. 14 / 513,140 entitled " TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES ", filed October 13, 2014, Priority is claimed under 35 USC § 119 (e) of U.S. Provisional Application No. 62 / 058,096, entitled "TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES", filed September 30,
다양한 기술 사양이 전세계에서 네트워크 기능 및 서비스가 네트워크 사업자 및 서비스 공급자에 의해 전개되고 관리되는 방식을 정의한다. 예를 들어, 사양은 서비스를 전달하기 위해 가상화된 플랫폼의 사용을 정의하고, 종종 서비스 내의 구성요소가 함께 "체인될" 수도 있다. 이러한 기술 사양은 예를 들어, 네트워크 기능 가상화를 위한 유럽 전기 통신 표준 협회의 표준(European Telecommunication Standards Institute's standard for Network Functions Virtualization: ETSI NFV)을 포함한다. 네트워크 사업자가 ETSI NFV에 의해 현재 정의된 바와 같은 가상 네트워크 기능 모델 상에 네트워크 기능 및 서비스를 실행할 때, 물리적 네트워킹 시스템에 전통적으로 이용가능한 양호하게 정의된 인터페이스는 더 이상 인터플로우 패킷 분석을 위해 이용가능하지 않다. 따라서, 위협을 검출하고 대처할 수 있게 하는 시스템의 능력(예를 들어, 더 높은 특권 레벨을 갖는 가입자를 위해 확보된 네트워크 기능 서비스에 가입자가 액세스하는 것을 방지함)이 상당히 억제될 수 있다.A variety of technical specifications define how network functions and services are deployed and managed by network operators and service providers worldwide. For example, a specification defines the use of a virtualized platform to deliver services, and often components within a service are "chained together". These technical specifications include, for example, the European Telecommunication Standards Institute's standard for Network Functional Virtualization (ETSI NFV) for network functional virtualization. When a network operator executes network functions and services on a virtual network function model as currently defined by the ETSI NFV, a well-defined interface traditionally available in the physical networking system is no longer available for analysis of the interflow packet I do not. Thus, the ability of the system to detect and cope with the threat (e.g., to prevent subscribers from accessing secured network capability services for a subscriber with a higher privilege level) can be significantly suppressed.
본 명세서에 설명된 개념은 첨부 도면에 한정으로서가 아니라 예로서 도시되어 있다. 도시의 간단화 및 명료화를 위해, 도면에 도시된 요소는 반드시 실제 축적대로 도시되어 있지는 않다. 적절한 것으로 고려되면, 도면 부호는 대응 또는 유사 요소를 지시하기 위해 도면 사이에서 반복되어 있다.
도 1은 보안 이상의 분산형 검출을 위한 시스템의 적어도 하나의 실시예의 개략화된 블록도이고;
도 2는 도 1의 시스템의 백본(backbone) 네트워크 시스템의 적어도 하나의 실시예의 개략 블록도이고;
도 3은 도 2의 백본 네트워크 시스템의 서버의 적어도 하나의 실시예의 개략 블록도이고;
도 4는 도 3의 서버의 환경의 적어도 하나의 실시예의 개략 블록도이고;
도 5 및 도 6은 도 2의 서버에 의해 실행될 수 있는 보안 이상의 분산형 검출을 위한 방법의 적어도 하나의 실시예의 개략 흐름도이고;
도 7은 도 2의 보안 서버에 의해 실행될 수 있는 보안 이상의 분산형 검출을 위한 방법의 적어도 하나의 실시예의 개략 흐름도이다.The concepts described herein are illustrated by way of example, and not by way of limitation, in the accompanying drawings. For simplicity and clarity of illustration, elements shown in the figures are not necessarily drawn to scale. When considered appropriate, reference numerals have been repeated among the figures to indicate corresponding or like elements.
1 is a simplified block diagram of at least one embodiment of a system for distributed detection over security;
Figure 2 is a schematic block diagram of at least one embodiment of a backbone network system of the system of Figure 1;
Figure 3 is a schematic block diagram of at least one embodiment of a server of the backbone network system of Figure 2;
Figure 4 is a schematic block diagram of at least one embodiment of the environment of the server of Figure 3;
Figures 5 and 6 are schematic flow diagrams of at least one embodiment of a method for distributed detection over security that may be performed by the server of Figure 2;
FIG. 7 is a schematic flow diagram of at least one embodiment of a method for distributed detection above security that may be performed by the security server of FIG. 2;
본 발명의 개념은 다양한 수정 및 대안 형태에 민감하지만, 그 특정 실시예는 도면에 예로서 도시되어 있고 본 명세서에 상세히 설명될 것이다. 그러나, 본 발명의 개념을 개시된 특정 형태에 한정하려는 의도는 없고, 반대로, 의도는 본 명세서 및 첨부된 청구범위에 따른 모든 수정, 등가물, 및 대안을 커버하는 것이라는 것이 이해되어야 한다.While the concepts of the present invention are susceptible to various modifications and alternative forms, specific embodiments thereof have been shown by way of example in the drawings and will be described in detail herein. It should be understood, however, that there is no intent to limit the inventive concepts to the particular forms disclosed, but on the contrary, the intention is to cover all modifications, equivalents, and alternatives falling within the spirit and scope of the appended claims.
명세서에서 "일 실시예", "실시예", "예시적인 실시예" 등의 참조는 설명된 실시예가 특정 특징, 구조, 또는 특성을 포함할 수 있지만, 모든 실시예가 특정 특징, 구조, 또는 특성을 반드시 포함할 수도 있거나 또는 포함하지 않을 수도 있다는 것을 지시한다. 더욱이, 이러한 구문은 반드시 동일한 실시예를 칭하는 것은 아니다. 또한, 특정 특징, 구조, 또는 특성이 실시예와 관련하여 설명될 때, 명시적으로 설명되건 설명되지 않건간에 다른 실시예와 관련하여 이러한 특징, 구조, 또는 특성을 실행하는 것이 당 기술 분야의 숙련자의 지식 내에 있다는 것이 제기된다. 부가적으로, "적어도 A, B 및 C"의 형태의 리스트 내에 포함된 아이템은 (A); (B); (C): (A 및 B); (B 및 C); (A 및 C); 또는 (A, B, 및 C)를 의미할 수 있다는 것이 이해되어야 한다. 유사하게, "적어도 A, B 또는 C"의 형태의 리스트 내의 아이템은 (A); (B); (C): (A 및 B); (B 및 C); (A 및 C); 또는 (A, B, 및 C)를 의미할 수 있다.Reference in the specification to "one embodiment "," an embodiment, "" an embodiment," and the like specify that the embodiments described may include a particular feature, structure, And may or may not include < / RTI > Moreover, such a statement does not necessarily refer to the same embodiment. Furthermore, when a particular feature, structure, or characteristic is described in connection with the embodiment, it will be understood by those skilled in the art to practice such a feature, structure, or characteristic in connection with other embodiments, Is within the knowledge of. Additionally, the items contained in the list of the forms of "at least A, B and C" are (A); (B); (C): (A and B); (B and C); (A and C); Or < / RTI > (A, B, and C). Similarly, an item in the list of the form "at least A, B or C" is (A); (B); (C): (A and B); (B and C); (A and C); Or (A, B, and C).
개시된 실시예는 몇몇 경우에 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 임의의 조합으로 구현될 수 있다. 개시된 실시예는 또한 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 하나 이상의 일시적 또는 비일시적 기계 판독가능(예를 들어, 컴퓨터 판독가능) 저장 매체에 의해 전달되거나 또는 그 위에 저장된 인스트럭션으로서 구현될 수 있다. 기계 판독가능 저장 매체는 기계에 의해 판독가능한 형태의 정보를 저장하거나 전송하기 위한 임의의 저장 디바이스, 메커니즘, 또는 다른 물리적 구조체(예를 들어, 휘발성 또는 비휘발성 메모리, 매체 디스크, 또는 다른 매체 디바이스)로서 구체화될 수도 있다.The disclosed embodiments may in some cases be implemented in hardware, firmware, software, or any combination thereof. The disclosed embodiments may also be implemented as instructions carried by or stored on one or more temporary or non-temporary machine readable (e.g., computer readable) storage media that can be read and executed by one or more processors. The machine-readable storage medium can be any storage device, mechanism, or other physical structure (e.g., volatile or nonvolatile memory, media disk, or other media device) for storing or transmitting information in a form readable by a machine, .
도면에서, 몇몇 구조적 또는 방법 특징이 특정 배열 및/또는 순서로 도시되어 있을 수도 있다. 그러나, 이러한 특정 배열 및/또는 순서는 요구되지 않을 수도 있다는 것이 이해되어야 한다. 오히려, 몇몇 실시예에서, 이러한 특징은 예시적인 도면에 도시된 것과는 상이한 방식 및/또는 순서로 배열될 수 있다. 부가적으로, 특정 도면에서 구조적 또는 방법 특징의 포함은 이러한 특징이 모든 실시예에서 요구되고, 몇몇 실시예에서 포함되지 않을 수도 있거나 다른 특징과 조합될 수 있다는 것을 암시하도록 의도된 것은 아니다.In the drawings, certain structural or method features may be shown in a particular arrangement and / or order. However, it should be understood that this particular arrangement and / or order may not be required. Rather, in some embodiments, these features may be arranged in a different manner and / or order than those illustrated in the exemplary figures. Additionally, the inclusion of a structural or method feature in a particular figure is not intended to imply that such feature is required in all embodiments, and may not be included in some embodiments or combined with other features.
이제 도 1을 참조하면, 보안 이상의 분산형 검출을 위한 시스템(100)은 백본 네트워크 시스템(102), 백홀(backhaul) 네트워크 시스템(104), 하나 이상의 타워 시스템(106), 및 하나 이상의 가입자 디바이스(108)를 예시적으로 포함한다. 예시적인 실시예에서, 가입자 디바이스(108)는 타워 시스템(106)에 의해 백홀 네트워크 시스템(104)과 통신하고, 백홀 네트워크 시스템(104)은 적절한 데이터 패킷이 프로세싱 및/또는 추가의 라우팅을 위해 백본 네트워크 시스템(102)에 라우팅되는 것을 보장한다. 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 타워 시스템(106), 및 가입자 디바이스(108)의 각각은 본 명세서에 설명된 기능을 수행하기 위해 임의의 적합한 디바이스 또는 디바이스의 집합으로서 구체화될 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 및 타워 시스템(106)의 각각은 가입자 디바이스(108) 및/또는 다른 디바이스 사이의 원격통신을 가능하게 한다(예를 들어, 인터넷을 통해). 또한, 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 및 타워 시스템(106)은 특정 구현예에 따라 이들의 대응 기능을 용이하게 하기 위한 임의의 수의 디바이스, 네트워크, 라우터, 스위치, 컴퓨터, 및/또는 다른 개입 디바이스를 포함할 수도 있다.Referring now to FIG. 1, a
몇몇 실시예에서, 백본 네트워크 시스템(102)은 가상 진화된 패킷 코어(Virtual Evolved Packet Core: vEPC) 아키텍처를 갖는 네트워크 기능 가상화(Network Function Virtualization: NFV) 기반 장기 진화(Long-Term Evolution: LTE) 백본 네트워크로서 구체화될 수 있다. 백본 네트워크 시스템(102)은 집중형 네트워크로서 기능할 수도 있고, 몇몇 실시예에서 다른 네트워크(예를 들어, 인터넷)에 통신적으로 결합될 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 백홀 네트워크 시스템(104)은 백본 네트워크 시스템(102)을 타워 시스템(106), 서브네트워크, 및/또는 에지 네트워크에 통신적으로 결합하는(예를 들어, 중간 링크를 거쳐) 하나 이상의 디바이스를 포함한다. 몇몇 실시예에서, 백홀 네트워크 시스템(104)은 LTE 백홀 네트워크 시스템으로서 구체화될 수 있고, 예를 들어, T1, IP, 광학, ATM, 리스된, 및/또는 다른 네트워크를 포함하는 다양한 네트워크를 포함할 수 있다.In some embodiments, the
타워 시스템(106)은 통신 디바이스, 예를 들어 모바일 컴퓨팅 디바이스(예를 들어, 이동 전화) 및/또는 다른 가입자 디바이스(108)가 서로 그리고/또는 다른 원격 디바이스와 통신하는 것을 허용하도록 구성된 하드웨어를 포함한다. 이와 같이 함으로써, 타워 시스템(106)은 가입자 디바이스(108)가 백홀 네트워크 시스템(104)과 통신하는 것을 가능하게 한다. 몇몇 실시예에서, 타워 시스템(106)의 하나 이상은 가입자 디바이스(108)(예를 들어, 모바일 컴퓨팅 디바이스 핸드셋) 중 하나 이상과 직접 또는 간접 통신하도록 구성된 진화된 노드(eNodeB)를 포함하거나 또는 다르게는 진화 노드로서 구체화될 수 있다. 또한, 타워 시스템(106)은 예를 들어 특정 실시예에 따라, 기지국 송수신기(base transceiver station: BTS) 또는 다른 스테이션/시스템을 포함하거나 또는 이들로서 기능할 수 있다. 가입자 디바이스(108)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 컴퓨팅 디바이스로서 구체화될 수 있다. 예를 들어, LTE 백홀 및 백본 시스템이 이용되는 실시예에서, 가입자 디바이스(108)는 모바일 컴퓨팅 디바이스(예를 들어, 스마트폰)로서 구체화될 수 있고, 셀룰러 네트워크를 이용하도록 구성될 수 있다.The
이하에 상세히 설명되는 바와 같이, 시스템(100)은 위협이 검출되고 작용되는 것을 보장하면서(예를 들어, 인터플로우 패킷 분석을 거쳐) 다양한 가상 네트워크 기능을 이용할 수 있다. 부가적으로, 시스템(100)은 신뢰된 실행 환경(Trusted Execution Environment: TEE)을 사용하여 가상 플랫폼 상에 향상된 세부적(fine-grain) 보안 검사 기능을 제공할 수 있다. 후술되는 바와 같이, 예시적인 실시예에서, TEE는 Intel® Software Guard Extensions(SGX)과 같은 보안 구역(secure enclave)으로서 설정된다. 그러나, 다른 실시예에서, TEE는 예를 들어, 관리용이성 엔진(Manageability Engine: ME), 신뢰된 플랫폼 모듈(trusted platform module: TPM), 혁신 엔진(Innovation Engine: IE), 보안 파티션(secure partition), 개별 프로세서 코어로서 다른 방식으로 설정되거나 구체화될 수 있고 그리고/또는 다른 방식으로 설정될 수 있다.As described in detail below, the
네트워크 기능 가상화(NVF) 환경에서, 비가상화된 환경의 전통적인 양호하게 정의된 인터페이스는 일반적으로 이용불가능하고, NFV 시스템은 그 각각이 하나 이상의 가상 네트워크 기능 구성요소(Virtual Network Function Components: VNFC)를 포함할 수 있는 다수의 가상 네트워크 기능(VNF)을 포함할 수 있다는 것이 이해되어야 한다. VNF 및/또는 VNFC는 예를 들어 공유 메모리, 폐쇄되어 있는 OS- 또는 하이퍼바이저-특정 응용 프로그래밍 인터페이스(Application Programming Interfaces: APIs), 네트워크 가상 스위치 테스트 액세스 포인트(test access point: TAP), 및/또는 다른 메커니즘을 포함하는 다양한 상이한 메커니즘을 사용하여 서로 통신할 수 있다. 또한, 몇몇 실시예에서, 인트라-VNF 및/또는 인트라-VNF 트래픽은 예를 들어, 인터넷 프로토콜 보안(Internet Protocol security: IPsec) 또는 보안 소켓 계층(Secure Sockets Layer: SSL)을 사용하여 암호화될 수 있다. 이와 같이, 전통적인 메커니즘은 가상화된 환경에서 모든 트래픽에 대해 명백한 가시성을 갖고 효율적으로 동작하도록 전통적인 네트워크 검사 시스템을 위한 일관적인 방식을 제공하지 않을 수도 있다는 것이 이해되어야 한다.In a Network Functional Virtualization (NVF) environment, the traditional well-defined interface of the non-virtualized environment is generally unavailable, and the NFV system includes one or more Virtual Network Function Components (VNFC) (VNFs) that may be used to perform the functions described herein. The VNF and / or VNFC may include, for example, a shared memory, a closed OS- or hypervisor-specific application programming interfaces (APIs), a network virtual switch test access point (TAP), and / May communicate with each other using a variety of different mechanisms including other mechanisms. Also, in some embodiments, intra-VNF and / or intra-VNF traffic may be encrypted using, for example, Internet Protocol security (IPsec) or Secure Sockets Layer (SSL) . As such, it should be appreciated that traditional mechanisms may not provide a consistent approach for traditional network inspection systems to operate efficiently with clear visibility into all traffic in a virtualized environment.
그러나, 예시적인 실시예에서, 시스템(100)은 TEE의 능력을 사용하여(예를 들어, 마이크로코드(유코드), 하드웨어 인스트럭션, 및/또는 다른 메커니즘과 함께) 가상화된 시스템을 가로질러 패킷 및/또는 흐름을 검사하도록 구성된다. 예를 들어, 후술되는 바와 같이, 시스템(100)의 각각의 서버 또는 플랫폼은 플랫폼 보안 정책 검사기의 역할을 취하는 플랫폼-특정 TEE를 포함할 수 있다. 특히, 플랫폼-특정 TEE는 네트워크 MAC/이더넷 및/또는 다른 네트워크/통신 인터페이스로부터(예를 들어, 인터-IP측-채널 메커니즘을 통해) 오는(즉, 유입 및/또는 유출) 모든 패킷을 검사할 수 있다. 부가적으로, 플랫폼-특정 TEE는 하이퍼바이저(예를 들어, 가상 기계 모니터) 특권 및 정의된 API(예를 들어, HECI 인터페이스)를 사용하여 TEE와의 통신에 기초하여 공유 메모리 및/또는 독점 API를 검사할 수 있다. 플랫폼-특정 TEE는 부가적으로 또는 대안적으로 서명된 그리고 안티-롤백(anti-rollback) 보호된 마이크로코드(유코드) 패치에 호출된 더 높은 특권에 기초하여 로컬 및 공유 프로세서(예를 들어, CPU) 및 SoC 캐시 메모리를 검사할 수 있다. 몇몇 실시예에서, 플랫폼-특정 TEE는 보호된 인터-VNFC 및 인터-VNF 트래픽을 모니터링하기 위해 TEE-기반 인터-VNFC 터널키를 사용한다. 부가적으로 또는 대안적으로, 플랫폼-특정 TEE는 트래픽 데이터에 액세스하기 위해 다양한 가상 스위치 인터페이스 내로 그리고 TAP 내로 하이퍼바이저 액세스를 사용할 수 있다.However, in the exemplary embodiment, the
몇몇 실시예에서, TEE는 플랫폼 상의 다수의 소스로부터 정보를 수집할 수 있고 전통적인 시스템 내에서 행해진 것보다 훨씬 더 상세한 방식으로 이와 같이 행할 수 있다는 것이 이해되어야 한다. 예를 들어, TEE는 모든 또는 선택된 패킷, 네트워크 흐름을 모니터링하고, 패킷 수정을 트래킹하고, 그리고/또는 다른 모니터링 특징을 수행하도록 정책에 의해 구성가능할 수 있다. TEE는 수집된 데이터에 진보된 휴리스틱(heuristics)을 실행할 수 있고, 특정 정책에 따라, 위협 정보를 보유할 수 있다. 또한, TEE는 정책 및/또는 수신된 리미디에이션 인스트럭션(예를 들어, 특정 흐름 차단, 패킷 복사 등)에 기초하여 하나 이상의 리미디에이션 작용을 취할 수 있다. 몇몇 실시예에서, TEE는 시스템 차원 보안 위협 휴리스틱/분석을 실행할 수 있는 지명된 TEE(예를 들어, NFV 분산형 위협 검출 보안 시스템 상의)에 예외 및/또는 위협 휴리스틱을 전달할 수 있다. 몇몇 실시예에서, TEE는 분산형 위협 검출 시스템이 다른 TEE가 추가의(예를 들어, 더 넓은 스케일) 분석을 위해 지명된 TEE에 보안 정보를 전송하도록 설계되는 점에서 "지명된다"는 것이 이해되어야 한다. 후술되는 바와 같이, 몇몇 실시예에서, 지명된 TEE는 보안 서버 및/또는 분산형 위협 검출 보안 시스템 내에 포함될 수도 있다. 또한, 몇몇 실시예에서, 다수의 TEE는 시스템 차원 또는 서브시스템 차원 보안 위협 분석을 수행하도록 지명될 수 있고, TEE는 계층적으로 배열될 수 있다. 예를 들어, 실시예에서, 제 1 지명된 TEE는 제 1 서브시스템 내의 서버의 대응 TEE로부터 수신된 정보에 기초하여 제 1 서브시스템의 보안 위협 분석을 수행할 수 있고, 제 2 지명된 TEE는 제 2 서브시스템 내의 서버의 대응 TEE로부터 수신된 정보에 기초하여 제 2 서브시스템의 보안 위협 분석을 수행할 수도 있는 등이다. 각각의 이들 서브시스템 TEE(예를 들어, 제 1 및 제 2 지명된 TEE)는 더 하위 레벨 지명된 TEE로부터 수신된 정보에 기초하여 풀 시스템 차원(또는 더 큰 서브시스템 차원) 보안 위협 분석을 수행하기 위해 "더 상위" 계층 레벨에서 다른 지명된 TEE에 이들의 분석 및/또는 부가의 정보를 제공할 수 있다. 물론, 지명된 TEE의 수 및/또는 계층 레벨은 특정 실시예에 따라 다양할 수 있다.In some embodiments, it should be appreciated that the TEE can collect information from multiple sources on the platform and thus do so in a much more detailed manner than has been done in a traditional system. For example, the TEE may be configurable by policy to monitor all or selected packets, network flow, track packet modifications, and / or perform other monitoring features. TEE can carry out advanced heuristics on the collected data and, depending on the specific policy, can retain threat information. In addition, the TEE may take one or more remediation actions based on policies and / or received remade instructions (e.g., specific flow blocking, packet copying, etc.). In some embodiments, the TEE may deliver an exception and / or threat heuristic to a named TEE (e.g., on an NFV distributed threat detection security system) capable of performing system level security threat heuristics / analysis. In some embodiments, it is understood that the distributed threat detection system is "named" in that other TEEs are designed to transmit security information to a TEE named for further (e.g., wider scale) . As described below, in some embodiments, the named TEE may be included in a security server and / or distributed threat detection security system. Further, in some embodiments, multiple TEEs may be designated to perform system-level or subsystem-level security threat analysis, and TEEs may be hierarchically arranged. For example, in an embodiment, a first named TEE may perform a security threat analysis of a first subsystem based on information received from a corresponding TEE of a server in the first subsystem, and a second named TEE Perform security threat analysis of the second subsystem based on information received from the corresponding TEE of the server in the second subsystem, and so on. Each of these subsystems TEE (e.g., first and second named TEE) performs a full system dimension (or larger subsystem dimension) security threat analysis based on information received from a lower level named TEE Or additional information at the "higher" hierarchy level to other named TEEs. Of course, the number and / or hierarchical levels of named TEEs may vary according to the particular embodiment.
TEE의 계층 능력은 로컬 리미디에이션 동작이 정의되게 하고 동시에 다수의 플랫폼을 가로질러 VNF 및 VNFC를 스팬하는(span) 흐름을 위한 시스템 차원 위협 검출 및 리미디에이션을 가능하게 한다는 것이 이해되어야 한다. 몇몇 실시예에서, TEE는 모든 코드 및 데이터를 포함하여, 보호될 수도 있고, 단지 서명 검증 및 측정시에만 로딩될 수 있다(예를 들어, TPM 또는 가상 TPM을 사용하여). 또한, TEE는 TPV 및/또는 다른 벤더(vendor)를 인에이블링하기 위해 루트키(root key)에 의해 허가된 서명 검증된 제 3 파티 검증(third party verification: TPV) 코드를 실행하는 능력을 가질 수 있다. 본 명세서에 설명된 통신을 위한 인터페이스는 예를 들어, SoC 또는 프로세서 내의 인터-IP 통신(inter-IP communication: IPC), 디바이스-드라이버 모델(예를 들어, HECI 인터페이스), 가상 LAN 어태치먼트, 구성요소간 상호작용을 위한 기존의 프로토콜(예를 들어, PECI, SMBUS 등)을 포함할 수 있다는 것이 이해되어야 한다. 다른 실시예에서, 구성요소는 예를 들어, TLS-보호된 HTTPS 웹기반 REST API를 거쳐 통신할 수 있다. 몇몇 실시예에서, 시스템(100)은 플랫폼-, 하이퍼바이저-, 및 클라우드 OS-중립 방식으로 구현될 수 있다는 것이 또한 이해되어야 한다.It should be appreciated that the layered capability of the TEE enables system-wide threat detection and remediation for flows that span VNFs and VNFCs across multiple platforms while allowing local remediation behavior to be defined. In some embodiments, the TEE may be protected, including all code and data, and may only be loaded (e.g., using a TPM or a virtual TPM) only at signature verification and measurement. The TEE also has the ability to execute a third party verification (TPV) code that is signed validated by the root key to enable the TPV and / or other vendor . The interface for communication described herein may be, for example, an inter-IP communication (IPC) in a SoC or processor, a device-driver model (e.g., a HECI interface), a virtual LAN attachment, (E. G., PECI, SMBUS, etc.) for inter-user interaction. In another embodiment, the component may communicate via, for example, the TLS-protected HTTPS web-based REST API. It should also be appreciated that in some embodiments, the
이제, 도 2를 참조하면, 예시적인 실시예에서, 백본 네트워크 시스템(102)은 하나 이상의 VNF(202), 하나 이상의 서버(204), 및 보안 서버(206)를 포함한다. 부가적으로, 몇몇 실시예에서, 백본 네트워크 시스템(102)은 리미디에이션 서버(208) 및/또는 오케스트레이터(orchestrator)(210)를 포함한다. 단지 하나의 보안 서버(206), 하나의 리미디에이션 서버(208), 및 하나의 오케스트레이터(210)만이 도 2에 예시적으로 도시되어 있지만, 백본 네트워크 시스템(102)은 다른 실시예에서 임의의 수의 보안 서버(206), 리미디에이션 서버(208), 및/또는 오케스트레이터(210)를 포함할 수 있다. 예를 들어, 다수의 보안 서버(206)가 포함될 수 있고, 그 각각은 계층 및 분산형 위협 검출을 위해 본 명세서에 설명된 바와 같이 지명된 TEE를 포함할 수 있다. 몇몇 실시예에서, 각각의 서버(204) 및 보안 서버(206)는 유사한 하드웨어, 소프트웨어, 및/또는 펌웨어 구성요소를 포함할 수 있다는 것이 이해되어야 한다. 또한, 몇몇 실시예에서, 보안 서버(206)는 보안 서버(206)가 본 명세서에 설명된 바와 같이 지명된 TEE를 포함하는 것을 제외하고는 서버(204) 중 하나로서 구체화될 수 있다.2, in an exemplary embodiment, the
이제, 도 3을 참조하면, 시스템(102)의 서버(204, 206)의 예시적인 실시예가 도시되어 있다. 도시된 바와 같이, 예시적인 서버(204, 206)는 프로세서(310), 입출력("I/O" 서브시스템)(312), 메모리(314), 데이터 저장 장치(316), 통신 회로(318), 및 하나 이상의 주변 디바이스(320)를 포함한다. 부가적으로, 몇몇 실시예에서, 서버(204, 206)는 보안 코프로세서(322)를 포함할 수 있다. 물론, 서버(204, 206)는 다른 실시예에서, 통상의 컴퓨팅 디바이스 내에서 통상적으로 발견되는 것들(예를 들어, 다양한 입출력 디바이스 및/또는 다른 구성요소)과 같은 다른 또는 부가의 구성요소를 포함할 수 있다. 부가적으로, 몇몇 실시예에서, 예시적인 구성요소의 하나 이상은 다른 구성요소 내에 합체되거나 또는 다르게는 다른 구성요소의 부분을 형성할 수도 있다. 예를 들어, 메모리(314), 또는 그 부분은 몇몇 실시예에서 프로세서(310) 내에 합체될 수 있다.Referring now to FIG. 3, an exemplary embodiment of a
프로세서(310)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 프로세서로서 구체화될 수 있다. 예를 들어, 프로세서(310)는 단일 또는 멀티-코어 프로세서(들), 디지털 신호 프로세서, 마이크로콘트롤러, 또는 다른 프로세서 또는 프로세싱/제어 회로로서 구체화될 수 있다. 도시된 바와 같이, 프로세서(310)는 하나 이상의 캐시 메모리(324)를 포함할 수 있다. 메모리(314)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 휘발성 또는 비휘발성 메모리 또는 데이터 저장 장치로서 구체화될 수 있다는 것이 이해되어야 한다. 동작시에, 메모리(314)는 운영 체제, 애플리케이션, 프로그램, 라이브러리, 및 드라이버와 같은 서버(204, 206)의 동작 중에 사용된 다양한 데이터 및 소프트웨어를 저장할 수 있다. 메모리(314)는 프로세서(310), 메모리(314), 및 서버(204, 206)의 다른 구성요소와 입출력 동작을 용이하게 하기 위해 회로 및/또는 구성요소로서 구체화될 수 있는 I/O 서브시스템(312)을 거쳐 프로세서(310)에 통신적으로 결합된다. 예를 들어, I/O 서브시스템(312)은 메모리 콘트롤러 허브, 입출력 제어 허브, 펌웨어 디바이스, 통신 링크(즉, 점대점 링크, 버스 링크, 와이어, 케이블, 라이트 가이드, 인쇄 회로 기판 트레이스 등) 및/또는 입출력 동작을 용이하게 하기 위한 다른 구성요소 및 서브시스템으로서 구체화되거나, 또는 다르게는 이들을 포함할 수도 있다. 몇몇 실시예에서, I/O 서브시스템(312)은 시스템 온 칩(system-on-a-chip: SoC)의 부분을 형성하고, 프로세서(310), 메모리(314), 및 서버(204, 206)의 다른 구성요소와 함께, 단일의 집적 회로 칩 상에 합체될 수 있다.The
데이터 저장 장치(316)는 예를 들어, 메모리 디바이스 및 회로, 메모리 카드, 하드 디스크 드라이브, 고체 상태 드라이브, 또는 다른 데이터 저장 디바이스와 같은 데이터의 단기 또는 장기 저장을 위해 구성된 임의의 유형의 디바이스 또는 디바이스들로서 구체화될 수 있다. 데이터 저장 장치(316) 및/또는 메모리(314)는 본 명세서에 설명된 기능을 수행하기 위해 유용한 서버(204, 206)의 동작 중에 다양한 데이터를 저장할 수 있다.The
통신 회로(318)는 네트워크를 통해 서버(204, 206)와 다른 원격 디바이스 사이의 통신을 인에이블링하는 것이 가능한 임의의 통신 회로, 디바이스 또는 이들의 집합으로서 구체화될 수 있다. 통신 회로(318)는 이러한 통신을 실행하기 위해 임의의 하나 이상의 통신 기술(예를 들어, 무선 또는 유선 통신) 및 연계된 프로토콜(예를 들어, 이더넷, Bluetooth®, Wi-Fi®, WiMAX 등)을 사용하도록 구성될 수 있다. 몇몇 실시예에서, 통신 회로(318)는 셀룰러 통신 회로 및/또는 다른 장거리 무선 통신 회로를 포함한다.The
주변 디바이스(320)는 스피커, 마이크로폰, 부가의 저장 디바이스 등과 같은 임의의 수의 부가의 주변 또는 인터페이스 디바이스를 포함할 수 있다. 주변 디바이스(320) 내에 포함된 특정 디바이스는 예를 들어 서버(204, 206)의 유형 및/또는 의도된 사용에 의존할 수 있다.
보안 코프로세서(322)는 포함되면, 보안 기능, 암호화 기능을 수행하고 그리고/또는 신뢰된 실행 환경을 설정하는 것이 가능한 임의의 하드웨어 구성요소(들) 또는 회로로서 구체화될 수 있다. 예를 들어, 몇몇 실시예에서, 보안 코프로세서(322)는 신뢰된 플랫폼 모듈(TPM) 또는 대역외 프로세서로서 구체화될 수 있다. 부가적으로, 몇몇 실시예에서, 보안 코프로세서(322)는 원격 디바이스(예를 들어, 다른 서버(204, 206)의 대응 보안 코프로세서(322))와 대역외 통신 링크를 설정할 수 있다.The
도 2를 재차 참조하면, 도시된 바와 같이, 백본 네트워크 시스템(102)은 그 각각이 하나 이상의 가상 네트워크 기능 구성요소(VNFC)(212)를 포함할 수 있는 하나 이상의 가상 네트워크 기능(VNF)(202)을 포함한다. VNF(202)는 임의의 적합한 가상 네트워크 기능으로서 구체화될 수 있고; 유사하게, VNFC(212)는 임의의 적합한 VNF 구성요소로서 구체화될 수 있다는 것이 이해되어야 한다. 예를 들어, 몇몇 실시예에서, VNF(202)는 보안 게이트웨이(SGW), 패킷 데이터 네트워크 게이트웨이(PNG), 빌링 기능, 및/또는 다른 가상 네트워크 기능을 포함할 수 있다. 몇몇 실시예에서, 특정 VNF(202)는 동일한 서버(204, 206) 또는 상이한 서버(204, 206) 상에서 실행될 수 있는 다수의 서브-인스턴스를 가질 수 있다. 달리 말하면, 가상화될 때, 특정 서버(204, 206)와 코로케이팅된 물리적 하드웨어에 의해 전통적으로 핸들링되는 네트워크 기능은 서버(204, 206) 중 하나 이상을 가로질러 VNF(202)로서 분산될 수 있다. 예시적인 실시예에서, VNFC(212)는 하나 이상의 VNF(202)의 기능성을 전달하도록 협동하는 프로세스 및/또는 인스턴스이다. 예를 들어, 몇몇 실시예에서, VNFC(212)는 VNF(202)의 서브모듈이다. VNF(202)에 유사하게, VNFC(212)는 하나 이상의 서버(204, 206)를 가로질러 분산될 수 있다는 것이 이해되어야 한다. 또한, 특정 VNFC(212)는 다수의 서버(204, 206)를 가로질러 분산될 수 있고, 단일 서버(204, 206) 상에 설정된 VNF(202)의 부분을 여전히 형성할 수 있다는 것이 이해되어야 한다.2,
본 명세서에 설명된 바와 같이, 예시적인 실시예에서, 하나 이상의 서버(204, 206)의 VNF(202)는 예를 들어, 하나 이상의 인터-VNF 통신 메커니즘을 거쳐 인터-VNF 통신 네트워크(240)를 통해 서로 통신할 수 있다. 유사하게, 하나 이상의 서버(204, 206)의 VNFC(212)는 예를 들어 하나 이상의 인터-VNFC 통신 메커니즘을 거쳐 인터-VNFC 통신 네트워크(242)를 통해 서로 통신할 수 있다. 인터-VNF 및 인터-VNFC 통신 메커니즘은 인터-VNF 및/또는 인터-VNFC 통신을 인에이블링하도록 구성된 임의의 적합한 메커니즘으로서 구체화될 수 있다는 것이 이해되어야 한다. 예를 들어, 몇몇 실시예에서, VNF(202) 및/또는 VNFC(212)는 표준 포맷, 공유 메모리(예를 들어, 하이퍼바이저에 의해 확보된 물리적/가상 메모리), 및/또는 다른 적합한 메커니즘에 기초하여 하이퍼바이저 및 패킷 파싱(parsing), 포맷된 패킷을 갖는 개방 스위치를 사용하여 서로 통신할 수 있다. 예시적인 실시예에서, 특정 VNF(202) 또는 VNFC(212)가 그 위에서 실행하는 서버(204, 206)의 TEE는 특정 VNF(202) 또는 VNFC(212)와 연계된 인터-VNF 및 인터-VNFC 통신을 판독하도록(직접 또는 간접) 구성된다.As described herein, in an exemplary embodiment, the
VNF(202)는 서비스 체인 내로 패킷을 프로세싱할 수 있다는 것이 이해되어야 한다. 그러나, 동작 중에, 하나 이상의 실행시간 위협이 시스템 내로 인젝트될 수도 있는데, 이는 특정 정책에 의해 요구되는 바와 같은 전체 서비스 체인에 의해 프로세싱되는 패킷 또는 흐름의 세트를 우회할 수 있다. 이와 같이, 서버(204, 206)의 TEE는 예를 들어, 악의적 TCP 싱크 플러드, 패킷 드롭, 흐름 단절, 애플리케이션-레벨 정책의 위반, 및 다른 잠재적인 보안 위협을 포함하는 이러한 이상 및 비정상 VNF 실행시간 거동을 식별하는데 이용될 수 있다. 이와 같이, TEE는 서버의 보안 정책 감시자로서 역할을 취할 수 있다.It should be appreciated that the
도 2의 예시적인 실시예에서, 각각의 서버(204)는 하이퍼바이저(214), 메모리(314), 캐시(324), 하나 이상의 엔진(220), 하나 이상의 네트워크 인터페이스(222), 및 신뢰된 실행 환경(224)을 포함한다. 부가적으로, 하이퍼바이저(214)는 하나 이상의 API(226), 가상 스위칭(vS 스위치)(228), 하나 이상의 암호화 터널(230), 및 공유 메모리(232)를 포함한다. 물론, 서버(204)는 몇몇 실시예에서 설명의 명료화를 위해 생략되어 있는 부가의 구성요소를 포함할 수 있다.In the exemplary embodiment of FIG. 2, each
하이퍼바이저(214) 또는 가상 기계 모니터는 대응 서버(204) 상에 하나 이상의 가상 기계(VM)를 실행한다. 이와 같이, 하이퍼바이저(214)는 다양한 가상화된 하드웨어 리소스(예를 들어, 가상 메모리, 가상 운영 체제, 가상 네트워킹 구성요소 등)를 설정하고 그리고/또는 이용할 수 있다. 하이퍼바이저(214) 및/또는 서버(204) 내에 포함된 특정 API(226)는 일반적으로 특정 서버(204)에 따라 다양할 수 있다. 몇몇 실시예에서, API(226)는 하나 이상의 독점 API를 포함한다. 몇몇 실시예에서, API(226)는 이들 패킷이 TEE(224)에 의해 분석될 수 있도록 패킷(예를 들어, 특정 VNF(202)와 연계된)에 액세스를 제공할 수 있다. 가상 스위치(228)는 네트워크 정책을 시행하고 그리고/또는 동작(예를 들어, 패킷 드롭, 흐름 모니터링, 심도 검사 수행, 리미디에이션 동작 수행 등)을 시행하도록 이용될 수 있다. 예를 들어, 가상 스위치(216)는 시스템(102) 내의 가상 기계(VM)의 네트워킹을 허용할 수 있다. 후술되는 바와 같이, 몇몇 실시예에서, 서버(204)는 보안 통신을 위해(예를 들어, 보안 서버(206)와, VNF(202) 사이의 그리고/또는 VNFC(212) 사이의 통신을 위해) 암호화 터널(218)을 설정할 수 있다. 몇몇 실시예에서, 암호화 터널(218)은 서버(204)의 TEE(224)에 의해 판독될 수 있다(예를 들어, 대응 암호화키로의 액세스에 의해 암호화된 형태 또는 비암호화된 형태로). 부가적으로, 몇몇 실시예에서, 하나 이상의 VM, VNF(202), 및/또는 VNFC(212)는 공유 메모리(232)를 이용할 수 있다. 예를 들어, 몇몇 실시예에서, VNF(202) 및 VNFC(212)는 서로 통신하도록 공유 메모리(232)를 이용할 수 있다. 공유 메모리(232)는 특정 실시예에 따라 물리적 메모리 및/또는 가상 메모리를 포함할 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 특정 서버(204)의 TEE(224)는 하나 이상 패킷/흐름의 보안 위협 분석을 위해 데이터를 검색하도록 그 서버(204)의 API(226), 가상 스위치(228), 암호화 터널(230), 및 공유 메모리(232)의 각각에 액세스할 수 있다. 부가적으로, TEE(224)는 이러한 분석을 위해 인터-VNF 및 인터-VNFC 통신에 액세스할 수 있다.The
전술된 바와 같이, 서버(204)는 메모리(314), 캐시(324), 엔진(220), 네트워크 인터페이스(222), 및 TEE(224)를 포함한다. 메모리(314)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 휘발성 또는 비휘발성 메모리 또는 데이터 저장 장치로서 구체화될 수 있다는 것이 이해되어야 한다. 또한, 몇몇 실시예에서, 메모리(314)는 소프트웨어 정의된 저장 장치를 포함할 수 있다. 하나 이상의 엔진(220)은 보안 평가를 준비할 때 TEE(224) 및/또는 보안 서버(206)에 유용한 데이터를 발생하는 임의의 하드웨어, 펌웨어, 및/또는 소프트웨어 구성요소로서 구체화될 수 있다. 예를 들어, 엔진(220)은 SoC, 그래픽 엔진, 보안 엔진, 오디오 엔진, 암호화 모듈, TPM, 코프로세서, 통신 링크 또는 채널, 스위치, 및/또는 데이터를 프로세싱하거나 다른 방식으로 핸들링하도록 구성된 다른 엔진을 포함할 수 있다. 네트워크 인터페이스(222)는 데이터 패킷의 네트워킹 프로세스와 연계된 임의의 인터페이스로서 구체화될 수 있다. 예를 들어, 몇몇 실시예에서, 네트워크 인터페이스(222)는 네트워크 MAC/이더넷 인터페이스, 소프트웨어 정의된 네트워킹 모듈, 및/또는 다른 네트워크 인터페이스를 포함한다.As described above, the
상기에 지시된 바와 같이, 예시적인 실시예에서, TEE(224)는 Intel® Software Guard Extensions(SGX)과 같은 보안 구역으로서 설정된다. 그러나, 다른 실시예에서, TEE(224)는 예를 들어, 관리용이성 엔진(ME), 신뢰된 플랫폼 모듈(TPM), 혁신 엔진(IE), 보안 파티션, 개별 프로세서 코어로서 다른 방식으로 설정될 수 있고 그리고/또는 다른 방식으로 설정될 수 있다. 예를 들어, 몇몇 실시예에서, TEE(224)는 보안 코프로세서(322)로서 구체화되거나 또는 설정될 수 있다. 본 명세서에 설명되는 바와 같이, TEE(224)는 보안 분석을 수행하는데 사용될 수 있는 서버(204)의 다양한 구성요소로부터 데이터를 검색하도록 구성될 수 있다. 몇몇 실시예에서, TEE(224)는 검색된 데이터에 기초하여 로컬 보안 분석을 수행할 수 있다. 또한, 예시된 실시예에서, TEE(224)는 보안 서버(206)의 대응 TEE(224)에(즉, 지명된 TEE(224)에) 보안 위협 평가된 데이터(즉, 수집된 데이터 및/또는 분석 결과)를 전송한다. 예시적인 실시예에서, TEE(224)는 대역외 통신 네트워크를 통해 서로 통신할 수 있다는 것이 이해되어야 한다.As indicated above, in the exemplary embodiment, the
본 명세서에 설명되는 바와 같이, 보안 서버(206)의 지명된 TEE(224)는 시스템 차원(또는 더 큰 서브시스템 차원) 보안 평가를 수행한다. 몇몇 실시예에서, 보안 서버(206)는 보안 평가와 연계된 리미디에이션 인스트럭션(즉, 서버(204)에 의해 수행될 적합한 동작)을 요청하기 위해 리미디에이션 서버(208)와 통신할 수 있다. 도 2에 도시된 바와 같이, 리미디에이션 서버(208)는 클라우드 컴퓨팅 환경(234) 내에 포함될 수 있고, 이 경우에 리미디에이션 서버(208)는 적절한 리미디에이션 동작/인스트럭션을 결정하기 위해 오케스트레이터(210)를 참고할 수 있다. 리미디에이션 서버(208) 및 오케스트레이터(210)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 서버 또는 컴퓨팅 디바이스로서 구체화될 수 있다. 또한, 리미디에이션 서버(208) 및 오케스트레이터(210)는 전술된 서버(204, 206)의 구성요소와 유사한 구성요소 및/또는 설명의 명료화를 위해 도 2에는 도시되어 있지 않은 프로세서, 메모리, I/O 서브시스템, 데이터 저장 장치, 주변 디바이스 등과 같은 서버 내에서 통상적으로 발견되는 구성요소를 포함할 수 있다.As described herein, the named
이제, 도 4를 참조하면, 서버(204, 206) 중 하나 이상은 보안 이상의 분산형 검출을 위한 환경(400)을 설정한다. 서버(204, 206)의 예시적인 실시예(400)는 보안 모듈(402), 신뢰된 실행 환경 모듈(404), 통신 모듈(406), 보안 위협 데이터베이스(408), 하나 이상의 정책(410)(예를 들어, 보안 및/또는 구성 정책), 및 휴리스틱 코드(412)를 포함한다. 환경(400)의 각각의 모듈은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 조합으로서 구체화될 수 있다. 부가적으로, 몇몇 실시예에서, 예시적인 모듈의 하나 이상은 다른 모듈의 부분을 형성할 수 있고 그리고/또는 예시적인 모듈의 하나 이상은 자립형 또는 독립적인 모듈로서 구체화될 수 있다. 예를 들어, 환경(400)의 각각의 모듈, 로직, 및 다른 구성요소는 서버(204, 206)의 프로세서(310)의 부분을 형성하거나, 또는 다르게는 이 프로세서에 의해 설정될 수 있다.Referring now to FIG. 4, one or more of the
보안 모듈(402)은 서버(206)를 위한 다양한 보안 기능을 수행하도록 구성된다. 예를 들어, 보안 모듈(402)은 암호화키, 서명, 해시의 발생 및 검증을 핸들링하고, 그리고/또는 다른 암호화 기능을 수행할 수 있다.The
신뢰된 실행 환경 모듈(404)은 신뢰된 실행 환경(예를 들어, TEE(224)) 또는 다른 보안 환경을 서버(204, 206) 내에 설정한다. 전술된 바와 같이, TEE(224)는 다른 서버(204, 206)의 대응 TEE(224)와 신뢰된 관계를 수립할 수 있다. 예를 들어, 이와 같이 함으로써, TEE(224)는 암호화키 교환을 수행할 수 있다. 몇몇 실시예에서, TEE(224)는 설정된 암호화된 그리고/또는 다른 보안 터널을 통해 서로 통신할 수 있다. 전술된 바와 같이, 몇몇 실시예에서, TEE(224)는 대역외 통신 채널(즉, 대응 서버(204, 206) 사이의 공통 통신 채널로부터 분리된 통신 채널)을 통해 서로 통신할 수 있다. 예를 들어, 서버(204) 중 하나의 TEE(224)는 보안 서버(206)의 TEE(224)와 신뢰된 관계를 수립할 수 있다. 또한, 전술된 바와 같이, TEE(224)는 VNFC-VNFC 및 VNF-VNF 네트워크의 패킷을 판독하고, 메모리(314), 캐시(324), 엔진(220), 및/또는 네트워크 인터페이스(222)로부터 데이터를 검색할 수 있다. 또한, 몇몇 실시예에서, TEE 모듈(404)은 퓨즈, 메모리(314), 데이터 저장 장치(316) 및/또는 서버(204, 206)의 다른 하드웨어 구성요소를 판독하여, 서버(204, 206)의 특정 정책(410)(예를 들어, 구성 또는 보안 정책)을 결정한다. 부가적으로, TEE 모듈(404)은 예를 들어, 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 검색된 정보에 기초하여 서버(204, 206)의 하나 이상의 패킷의 보안 평가를 수행할 수 있다. 이와 같이 함으로써, TEE 모듈(404)은 보안 위협 데이터베이스(408)로부터 데이터를 검색하거나 또는 다르게는 검색된 보안 위협 평가를 보안 위협 데이터베이스(408)와 상관할 수 있다. 서버(204) 중 하나는 로컬 보안 위협 평가를 수행할 수 있고, 보안 서버(206)는 시스템 차원(또는 더 큰 서브시스템 차원) 보안 위협 평가를 수행할 수 있다는 것이 이해되어야 한다. 이와 같이, 이들 서버(204, 206)의 보안 위협 데이터베이스(408)는 대응 데이터를 포함할 수 있다. 몇몇 실시예에서, TEE 모듈(404)은 하나 이상의 패킷의 보안을 평가하는데 휴리스틱 코드(412)를 이용할 수 있다. 몇몇 실시예에서, 휴리스틱 코드(412)는 의심스러운 인스트럭션이 실행되어야 하는(예를 들어, VM 또는 보안 컨테이너 내에서) 파라미터 및/또는 콘텍스트를 식별한다. 부가적으로 또는 대안적으로, 휴리스틱 코드(412)는 악의적인 코드 서명, 화이트 리스트(white list), 블랙 리스트(black list)를 식별할 수 있고, 그리고/또는 다르게는 하나 이상의 패킷/인스트럭션의 보안을 평가하는데 있어 TEE 모듈에 의해 유용한 데이터를 포함할 수 있다.The trusted
통신 모듈(406)은 적합한 네트워크를 통해 서버(204, 206)와 원격 디바이스 사이의 통신을 핸들링한다. 예를 들어, 전술된 바와 같이, 서버(204, 206)의 TEE(224)는 대역외 통신 채널을 통해 또는 암호화된 터널을 거쳐 서로 통신할 수 있다.The
이제, 도 5 및 도 6을 참조하면, 사용시에, 서버(204)는 보안 이상의 분산형 검출을 위한 방법(500)을 실행할 수 있다. 예시적인 방법(500)은 서버가 보안 서버(206)와 신뢰된 관계를 수립하는 블록 502에서 시작한다. 전술된 바와 같이, 몇몇 실시예에서, 보안 서버(206)는 시스템 차원 또는 서브시스템 차원 보안 분석을 수행하도록 선택되거나 "지명되어" 있는 TEE(224)를 포함하는 서버(204) 중 하나로서 구체화될 수 있다. 다른 실시예에서, 보안 서버(206)는 서버(204)로부터 분리된 서버로서 구체화될 수 있다. 신뢰된 관계를 수립하는데 있어서, 서버(204)는 블록 504에서 보안 서버(206)와 암호화키를 교환할 수 있고 그리고/또는 블록 506에서 신뢰의 루트 및/또는 퓨즈키를 사용할 수 있다는 것이 이해되어야 한다. 예를 들어, 서버(204) 및/또는 보안 서버(206)는 서버(204, 206), 또는 더 구체적으로는 서버(204, 206)의 하드웨어 구성요소(예를 들어, 보안 코프로세서(322))에 구속된(예를 들어, 암호학적으로) 암호화키 또는 식별을 포함할 수 있다.Referring now to Figures 5 and 6, in use, the
블록 508에서, 서버(204)는 보안적으로 부팅한다. 이와 같이 함으로써, 서버(204)는 블록 510에서 그 구성 정책을 검색한다(예를 들어, 서버(204)의 보안 비휘발성 메모리로부터). 몇몇 실시예에서, 구성 정책은 실행 파라미터, 맥락적 정보, 및/또는 서버(204)의 동작과 연계된 다른 정보를 지시할 수 있다. 예를 들어, 몇몇 실시예에서, 구성 정책은 서버(204)의 다양한 하드웨어, 펌웨어, 및/또는 소프트웨어 구성요소에 관하여 TEE(224)에 통지하는데 이용될 수 있다.At
블록 512에서, 서버(204)는 보안 서버(206)와 신뢰된 터널을 설립한다. 이와 같이 함으로써, 서버(204)는 블록 514에서 그 존속성(aliveness)을 광고할 수 있다. 이와 같이 하기 위해, 서버(204)는 서버(204)가 동작하는 보안 서버(206)에 통보하기 위해 보안 서버(206)와 통신할 수 있다. 예를 들어, 서버(204)는 보안 서버(206)에 하트비트(heartbeat) 신호를 전송할 수 있다. 또한, 몇몇 실시예에서, 서버(204)는 그 존속성을 주기적으로 또는 연속적으로 광고할 수 있다. 부가적으로 또는 대안적으로, 서버(204)는 블록 516에서 보안 서버(206)에 그 보안 정책 및/또는 휴리스틱 코드(예를 들어, 패킷 데이터를 분석하기 위해 휴리스틱 보안 알고리즘을 적용하는데 사용을 위해)를 전송할 수 있다. 몇몇 실시예에서, 서버(204)는 전체 보안 정책을 전송할 수 있고, 반면에 다른 실시예에서, 보안 서버(206)는 다양한 서버(204)를 위한 보안 정책을 유지할 수 있어, 서버(204)가 전체 보안 정책보다는 보안 정책에 대한 최근의 업데이트를 단지 보안 서버(206)에 제공할 수 있게 된다. 또한, 몇몇 실시예에서, 보안 서버(204)는 보안을 평가하는데 사용을 위해 서버(204)에 휴리스틱 코드를 전송할 수 있다.At
블록 518에서, 서버(204)는 서버(204)의 실행시간 포스처(posture)(예를 들어, 맥락 및/또는 상태 정보)를 결정한다. 이와 같이 함으로써, 블록 420에서, 서버(204)는 서버(204)의 하나 이상의 VNF(202)의 실행시간 포스처를 결정할 수 있다. 예를 들어, 서버(204)는 VNF(202), VNFC(212), 및/또는 VM의 기능으로서 서버(204)의 현재 콘텍스트를 결정할 수 있다. 블록 422에서, 서버(204)는 하이퍼바이저(214)를 통해 VNFC-VNFC 및/또는 VNF-VNF 네트워크의 하나 이상의 패킷을 판독한다. 특히, 서버(204)는 가상 스위치(228) 및/또는 네트워크 인터페이스(222)를 통해 VNFC-VNFC 및/또는 VNF-VNF 네트워크의 하나 이상의 패킷을 판독할 수 있다. 블록 524에서, 서버(204)는 서버(204)의 메모리(314, 232) 및/또는 캐시(324)로부터 VNFC 및/또는 VNF 프로세스 실행 상태와 연계된 하나 이상의 패킷을 판독한다. 도 6의 블록 526에서, 서버(204)는 서버(204)의 마이크로코드(유코드) 및/또는 BIOS를 통해 서버 액세스를 인에이블링한다. 이와 같이 함으로써, 블록 528에서, 서버(204)는 서버(204)의 정책(예를 들어, 보안 정책)을 결정하기 위해 서버(204)의 퓨즈 및/또는 상태를 판독할 수 있다.At
블록 530에서, 서버(204)는 서버(204)의 로컬 위협 평가를 수행할 수 있다. 서버(204)는 서버(204)에서 검색된 또는 다른 방식으로 액세스가능한 정책, 휴리스틱 코드, 실행시간 포스처, 패킷, 및/또는 다른 정보를 이용할 수 있다는 것이 이해되어야 한다. 몇몇 실시예에서, 서버(204)는 보안 위협 평가를 수행하기 위한 하나 이상의 휴리스틱 알고리즘을 실행한다. 블록 534에서, 서버(204)는 보안 서버(206)에 보안 위협 평가 데이터를 보고한다. 이와 같이 함으로써, 서버(204)는 서버(204)에 의해 수집된 원시 데이터, 로컬 보안 평가 데이터, 및/또는 서버(204)에 의해 발생된 중간 데이터를 전송할 수 있다.At
특정 실시예에 따라, 서버(204)는 블록 536에서 보안 서버(206) 또는 리미디에이션 서버(208)로부터 네트워크 흐름/패킷을 위한 리미디에이션 동작 인스트럭션을 수신할 수 있다. 예를 들어, 본 명세서에 설명된 바와 같이, 보안 서버(206)는 임의의 특정 리미디에이션 동작이 서버(204)에 의해 수행되어야 하는지 여부를 판정하기 위해 리미디에이션 서버(208)로부터 시스템 차원 위협 분석 및/또는 요청 보조를 수행할 수 있다. 만일 없으면, 서버(204)는 몇몇 실시예에서 보안 서버(206)로부터 응답을 수신하지 않을 수 있다. 물론, 몇몇 실시예에서, 서버(204)는 보안 리미디에이션 동작을 수행해야 하는지 여부를 독립적으로 판정할 수 있다. 블록 538에서, 서버(204)는 네트워크 정책 및/또는 임의의 리미디에이션 동작을 시행한다. 몇몇 실시예에서, 서버(204)는 가상 스위치(228) 및/또는 네트워크 인터페이스(222)에 의해 이와 같이 행할 수 있다. 특정 리미디에이션 동작은 특정 보안 위협 및/또는 특정 실시예에 따라 다양할 수 있다. 예를 들어, 블록 540에서, 서버(204)는 리미디에이션 인스트럭션에 기초하여 하나 이상의 네트워크 패킷을 드롭할 수 있다. 블록 542에서, 서버(204)는 하나 이상의 네트워크 흐름을 모니터링할 수 있다. 예를 들어, 몇몇 실시예에서, 보안 서버(206) 또는 리미디에이션 서버(208)는 위협 분석에 기초하여 보안 위험을 취할 수 있는 특정 클래스의 네트워크 흐름을 모니터링하도록 서버(204)에 지시할 수 있다. 또한, 블록 544에서, 서버(204)는 리미디에이션 인스트럭션에 기초하여 하나 이상의 네트워크 패킷의 심도 패킷 검사를 수행할 수 있다. 물론, 서버(204)는 특정 실시예에 따라 광범위한 다른 리미디에이션 동작을 수행할 수 있다.In accordance with a particular embodiment, the
이제, 도 7을 참조하면, 사용시에, 보안 서버(206)는 보안 이상의 분산 검출 방법(700)을 실행할 수 있다. 예시된 방법(700)은 보안 서버(206)가 서버(204) 중 하나와 신뢰된 관계를 수립하는 도 7의 블록 702에서 시작한다. 전술된 바와 같이, 이와 같이 함으로써, 보안 서버(206)는 블록 704에서 서버(204)와 암호화키 교환을 수행할 수 있고 그리고/또는 블록 706에서 신뢰의 루트 및/또는 퓨즈키를 이용할 수 있다. 예를 들어, 쌍방 신뢰가 설정되는 실시예에서, 서버(204) 및 보안 서버(206)의 모두는 신뢰의 루트(예를 들어, 암호학적으로 구속된 키 또는 식별자)를 포함한다. 블록 710에서, 보안 서버(206)는 전술된 바와 같이 서버(204)와 신뢰된 터널을 설립한다. 이와 같이 함으로써, 보안 서버(206)는 블록 710에서 서버(204)로부터 보안 정책 업데이트 및/또는 휴리스틱 코드를 수신할 수 있다. 부가적으로 또는 대안적으로, 보안 서버(204)는 서버(204)에 휴리스틱 코드를 전송할 수 있다(예를 들어, 보안을 평가하는데 사용을 위해). 또한, 블록 712에서, 보안 서버(206)는 수신된 정보에 기초하여 서버(204)로부터 보안 위협 평가 데이터를 수신한다. 전술된 바와 같이, 서버(204)는 서버(204)에 의해 수집된 원시 데이터, 로컬 보안 평가 데이터, 및/또는 서버(204)에 의해 발생된 중간 데이터를 보안 서버(206)에 전송하여 보안 서버(206)가 시스템 차원 또는 서브시스템 차원 보안 평가를 수행하는 것을 가능하게 할 수도 있다.Referring now to FIG. 7, in use, the
블록 714에서, 보안 서버(206)는 분석된 패킷(들)이 서버(204)로의 보안 위협을 취하는지 여부를 판정하기 위해 보안 위협 데이터베이스(408)와 보안 위협 평가를 상관한다. 몇몇 실시예에서, 보안 서버(206)는 포스처, 보안 및 구성 정책, 콘텍스트, 휴리스틱 코드, 및/또는 서버(204)의 동작에 관한 다른 정보에 기초하여 패킷의 실행을 시뮬레이션할 수 있다(예를 들어, VM 내에서). 부가적으로 또는 대안적으로, 보안 서버(206)는 다양한 멀웨어(예를 들어, 바이러스) 서명, 화이트 리스트, 블랙 리스트, 및/또는 다른 데이터에 패킷을 비교하여 패킷이 보안되는지 여부를 판정할 수 있다.At
블록 716에서, 보안 서버(206)는 보안 위협이 식별되어 있는지 여부를 판정한다. 만일 그러하면, 보안 서버(206)는 블록 718에서 리미디에이션 동작을 결정한다. 이와 같이 하기 위해, 블록 720에서, 보안 서버(206)는 리미디에이션 서버(208)로부터 리미디에이션 결정을 요청할 수 있다. 이러한 실시예에서, 리미디에이션 서버(208)는 시스템 차원(예를 들어, 클라우드 기반) 보안 평가를 수행할 수 있고 그리고/또는 보안 위협과 연계된 손상을 리미디에이션하거나 최소화하기 위해 서버(204)에 의해 수행될 리미디에이션 동작을 다른 방식으로 결정할 수 있다. 전술된 바와 같이, 몇몇 실시예에서, 리미디에이션 서버(208)는 이러한 결정을 행하기 위해 클라우드 컴퓨팅 환경(234) 내에서 오케스트레이터(210)와 협동할 수 있다. 리미디에이션 서버(208)가 참고되면, 블록 722에서, 보안 서버(206)는 리미디에이션 서버(208)로부터 대응 리미디에이션 인스트럭션을 수신할 수 있다. 다른 실시예에서, 리미디에이션 서버(208)는 서버(204)에 직접 인스트럭션을 전송할 수 있다. 물론, 몇몇 실시예에서, 보안 서버(206)는 그 자신이 리미디에이션 분석으로 수행할 수 있다. 블록 724에서, 보안 서버(206)는 리미디에이션 인스트럭션을 서버(204)에 전송할 수 있다.At
예Yes
본 명세서에 개시된 기술의 예시적인 예가 이하에 제공된다. 기술의 실시예는 후술되는 예 중 임의의 하나 이상, 및 임의의 조합을 포함할 수 있다.Exemplary examples of the techniques disclosed herein are provided below. Embodiments of the technology may include any one or more of the examples described below, and any combination thereof.
예 1은 보안 이상의 분산형 검출을 위한 컴퓨팅 디바이스를 포함하고, 컴퓨팅 디바이스는 (i) 보안 서버와 신뢰된 관계를 수립하고, (ii) 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, (iii) 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 신뢰된 실행 환경 모듈; 및 보안 위협 평가를 보안 서버에 전송하기 위한 통신 모듈을 포함한다.Example 1 includes a computing device for distributed detection over security, wherein the computing device is configured to (i) establish a trusted relationship with a security server, and (ii) in response to establishing a trusted relationship, A trusted execution environment module for reading one or more packets of at least one of the inter-virtual network functional component networks, (iii) performing a security threat assessment of one or more packets; And a communication module for transmitting the security threat evaluation to the security server.
예 2는 예 1의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함한다.Example 2 includes the gist of Example 1, wherein establishing a trusted relationship includes establishing a trusted relationship with a corresponding trusted execution environment module of the security server.
예 3은 예 1 및 2 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하는 것은 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 것을 포함한다.Example 3 includes the gist of any one of Examples 1 and 2 wherein sending a security threat assessment comprises sending an out-of-band communication established between a trusted execution environment module of a computing device and a corresponding trusted execution environment module of a security server And sending the security threat assessment to the corresponding trusted execution environment module of the security server over the channel.
예 4는 예 1 내지 3 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 보안 서버와 암호화키를 교환하는 것을 포함한다.Example 4 includes the subject matter of any of Examples 1 to 3, wherein establishing a trusted relationship comprises exchanging an encryption key with a security server.
예 5는 예 1 내지 4 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하는 것을 포함한다.Example 5 includes the subject matter of any one of Examples 1-4, wherein establishing a trusted relationship comprises using at least one of a trusted root of the computing device or a fuse key.
예 6은 예 1 내지 5 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립한다.Example 6 includes the subject matter of any of Examples 1-5 wherein the trusted execution environment module also establishes a trusted tunnel with the security server based on the trusted relationship.
예 7은 예 1 내지 6 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하는 것을 추가로 포함한다.Example 7 includes the subject matter of any of Examples 1 to 6, wherein establishing a trusted tunnel further comprises transmitting a security policy of the computing device to the security server.
예 8은 예 1 내지 7 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하는 것을 추가로 포함한다.Example 8 includes the subject matter of any of Examples 1 to 7, wherein establishing a trusted tunnel further comprises transmitting a heuristic code of the computing device to the security server.
예 9는 예 1 내지 8 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 보안 서버로부터 휴리스틱 코드를 수신하는 것을 추가로 포함한다.Example 9 includes the subject matter of any of Examples 1 to 8, wherein establishing a trusted tunnel further comprises receiving a heuristic code from a security server.
예 10은 예 1 내지 9 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅한다.Example 10 includes the subject matter of any of Examples 1 to 9, wherein the trusted execution environment module also boots the computing device in response to establishing a trusted relationship.
예 11은 예 1 내지 10 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하는 것은 컴퓨팅 디바이스의 구성 정책을 검색하는 것을 포함한다.Example 11 includes the subject matter of any of Examples 1 to 10, wherein booting a computing device includes retrieving a configuration policy of the computing device.
예 12는 예 1 내지 11 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 것이고; 보안 위협 평가를 수행하는 것은 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하는 것을 포함한다.Example 12 includes the subject matter of any one of Examples 1 to 11, wherein the trusted execution environment module is further for determining an execution time contribution of the computing device; Performing a security threat assessment includes performing a security threat assessment of one or more packets based on an execution time posture.
예 13은 예 1 내지 12 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 것은 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 것을 포함한다.Example 13 includes the subject matter of any one of Examples 1 to 12, wherein determining an execution time position of a computing device includes determining an execution time contribution of a virtual network function of the computing device.
예 14는 예 1 내지 13 중 어느 하나의 요지를 포함하고, 여기서 통신 모듈은 또한 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신한다.Example 14 includes the subject matter of any one of Examples 1 to 13, wherein the communication module also receives a resume operation instruction for one or more packets from a security server.
예 15는 예 1 내지 14 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행한다.Example 15 includes the subject matter of any one of Examples 1 to 14, wherein the trusted execution environment module also implements a corresponding remediation operation with the remediation operation instruction.
예 16은 컴퓨팅 디바이스에 의해 보안 이상의 분산형 검출을 위한 방법을 포함하고, 방법은, 컴퓨팅 디바이스에 의해, 보안 서버와 신뢰된 관계를 수립하는 단계; 컴퓨팅 디바이스에 의해, 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하는 단계; 컴퓨팅 디바이스에 의해, 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계; 및 컴퓨팅 디바이스에 의해, 보안 위협 평가를 보안 서버에 전송하는 단계를 포함한다.Example 16 includes a method for distributed detection over security by a computing device, the method comprising: establishing, by a computing device, a trusted relationship with a security server; Reading, by the computing device, one or more packets of at least one of an inter-virtual network functional network or an inter-virtual network functional component network in response to establishing a trusted relationship; Performing, by the computing device, a security threat assessment of one or more packets; And transmitting, by the computing device, the security threat assessment to the security server.
예 17은 예 16의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함한다.Example 17 includes the gist of Example 16 wherein establishing a trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the security server.
예 18은 예 16 및 17 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하는 단계는 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 단계를 포함한다.Example 18 includes the subject matter of any one of Examples 16 and 17 wherein the step of transmitting a security threat assessment comprises the steps of: sending a security threat assessment to a trusted device, And transmitting the security threat assessment to a corresponding trusted execution environment module of the security server via the communication channel.
예 19는 예 16 내지 18 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 보안 서버와 암호화키를 교환하는 단계를 포함한다.Example 19 includes the subject matter of any one of Examples 16-18, wherein establishing a trusted relationship comprises exchanging an encryption key with a security server.
예 20은 예 16 내지 19 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하는 단계를 포함한다.Example 20 includes the subject matter of any one of Examples 16-19, wherein establishing a trusted relationship comprises utilizing at least one of a trusted root or a fuse key of a computing device.
예 21은 예 16 내지 20 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립하는 단계를 추가로 포함한다.Example 21 further includes the step of establishing a trusted tunnel with the security server based on the trusted relationship, by the computing device, comprising the subject matter of any one of Examples 16-20.
예 22는 예 16 내지 21 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하는 단계를 포함한다.Example 22 includes the subject matter of any one of Examples 16-21, wherein establishing a trusted tunnel comprises transmitting a security policy of the computing device to a security server.
예 23은 예 16 내지 22 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하는 단계를 포함한다.Example 23 includes the subject matter of any one of Examples 16-22, wherein establishing a trusted tunnel comprises transmitting a heuristic code of a computing device to a security server.
예 24는 예 16 내지 23 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 보안 서버로부터 휴리스틱 코드를 수신하는 단계를 포함한다.Example 24 includes the subject matter of any one of Examples 16-23, wherein establishing a trusted tunnel comprises receiving a heuristic code from a security server.
예 25는 예 16 내지 24 중 어느 하나의 요지를 포함하고, 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅하는 단계를 추가로 포함한다.Example 25 includes the subject matter of any one of Examples 16-24, further comprising booting the computing device in response to establishment of a trusted relationship.
예 26은 예 16 내지 25 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하는 단계는 컴퓨팅 디바이스의 구성 정책을 검색하는 단계를 포함한다.Example 26 includes the subject matter of any one of Examples 16-25, wherein booting a computing device includes retrieving a configuration policy of the computing device.
예 27은 예 16 내지 26 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 단계를 추가로 포함하고; 보안 위협 평가를 수행하는 단계는 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계를 포함한다.Example 27 includes the subject matter of any one of Examples 16-26 further comprising, by the computing device, determining an execution time position of the computing device; Performing a security threat assessment includes performing a security threat assessment of one or more packets based on an execution time posture.
예 28은 예 16 내지 27 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 단계는 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 단계를 포함한다.Example 28 includes the subject matter of any one of Examples 16-27, wherein determining an execution time position of a computing device includes determining an execution time position of a virtual network function of the computing device.
예 29는 예 16 내지 28 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하는 단계를 추가로 포함한다.Example 29 includes the subject matter of any one of Examples 16-28, further comprising, by a computing device, receiving a remediation action instruction for one or more packets from a security server.
예 30은 예 16 내지 29 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는 단계를 추가로 포함한다.Example 30 includes the subject matter of any one of Examples 16-29, further comprising, by a computing device, implementing a remediation operation corresponding to the remediation operation instruction.
예 31은 프로세서; 및 프로세서에 의해 실행될 때 컴퓨팅 디바이스가 예 16 내지 30 중 어느 하나의 방법을 수행하게 하는 복수의 인스트럭션이 그 내에 저장되어 있는 메모리를 포함하는 컴퓨팅 디바이스를 포함한다.Example 31 includes a processor; And a computing device that, when executed by the processor, includes a memory in which a plurality of instructions for causing a computing device to perform the method of any one of claims 16 to 30 are stored.
예 32는 컴퓨팅 디바이스에 의한 실행에 응답하여, 컴퓨팅 디바이스가 예 16 내지 30 중 어느 하나의 방법을 수행하게 하는 그 위에 저장되어 있는 복수의 인스트럭션을 포함하는 하나 이상의 기계 판독가능 저장 매체를 포함한다.Example 32 includes one or more machine-readable storage media including a plurality of instructions stored thereon, in response to execution by a computing device, such that a computing device performs any of the methods of Examples 16-30.
예 33은 보안 이상의 분산형 검출을 위한 컴퓨팅 디바이스를 포함하고, 컴퓨팅 디바이스는 보안 서버와 신뢰된 관계를 수립하기 위한 수단; 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하기 위한 수단; 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 수단; 및 보안 위협 평가를 보안 서버에 전송하기 위한 수단을 포함한다.Example 33 includes a computing device for distributed detection over security, the computing device comprising: means for establishing a trusted relationship with the security server; Means for reading one or more packets of at least one of an inter-virtual network functional network or an inter-virtual network functional component network in response to establishing a trusted relationship; Means for performing a security threat assessment of one or more packets; And means for sending a security threat assessment to the security server.
예 34는 예 33의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하기 위한 수단을 포함한다.Example 34 includes the gist of Example 33 wherein the means for establishing a trusted relationship comprises means for establishing a trusted relationship with a corresponding trusted execution environment module of the security server.
예 35는 예 33 및 34 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하기 위한 수단은 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하기 위한 수단을 포함한다.Example 35 includes the subject matter of any one of Examples 33 and 34 wherein the means for transmitting the security threat assessment comprises means for transmitting the security threat assessment to the established band between the trusted execution environment module of the computing device and the corresponding trusted execution environment module of the security server And means for sending a security threat assessment to a corresponding trusted execution environment module of the security server over an external communication channel.
예 36은 예 33 내지 35 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 보안 서버와 암호화키를 교환하기 위한 수단을 포함한다.Example 36 comprises the subject matter of any of Examples 33 to 35, wherein the means for establishing a trusted relationship comprises means for exchanging encryption keys with a security server.
예 37은 예 33 내지 36 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하기 위한 수단을 포함한다.Example 37 comprises the subject matter of any of Examples 33 to 36, wherein the means for establishing a trusted relationship comprises means for utilizing at least one of a root of trust or a fuse key of a computing device.
예 38은 예 33 내지 37 중 어느 하나의 요지를 포함하고, 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립하기 위한 수단을 추가로 포함한다.Example 38 includes the subject matter of any of Examples 33 to 37 further comprising means for establishing a trusted tunnel with the security server based on the trusted relationship.
예 39는 예 33 내지 38 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하기 위한 수단을 포함한다.Example 39 comprises the subject matter of any of Examples 33 to 38, wherein the means for establishing a trusted tunnel comprises means for transmitting a security policy of a computing device to a security server.
예 40은 예 33 내지 39 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하기 위한 수단을 포함한다.Example 40 comprises the subject matter of any of Examples 33 to 39, wherein the means for establishing a trusted tunnel comprises means for transmitting a heuristic code of a computing device to a security server.
예 41은 예 33 내지 40 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 보안 서버로부터 휴리스틱 코드를 수신하기 위한 수단을 포함한다.Example 41 comprises the subject matter of any of Examples 33 to 40, wherein the means for establishing a trusted tunnel comprises means for receiving a heuristic code from a security server.
예 42는 예 33 내지 41 중 어느 하나의 요지를 포함하고, 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅하기 위한 수단을 추가로 포함한다.Example 42 includes the subject matter of any of Examples 33-41, further comprising means for booting a computing device in response to establishing a trusted relationship.
예 43은 예 33 내지 42 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하기 위한 수단은 컴퓨팅 디바이스의 구성 정책을 검색하기 위한 수단을 포함한다.Example 43 comprises the subject matter of any of Examples 33 to 42, wherein the means for booting a computing device comprises means for retrieving a configuration policy of the computing device.
예 44는 예 33 내지 43 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 수단을 추가로 포함하고; 보안 위협 평가를 수행하기 위한 수단은 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 수단을 포함한다.Example 44 includes the subject matter of any of Examples 33 to 43, further comprising: means for determining an execution time position of a computing device; The means for performing a security threat assessment comprises means for performing a security threat assessment of one or more packets based on an execution time posture.
예 45는 예 33 내지 44 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 수단은 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하기 위한 수단을 포함한다.Example 45 includes the subject matter of any of Examples 33 to 44, wherein the means for determining an execution time position of a computing device includes means for determining an execution time position of a virtual network function of the computing device.
예 46은 예 33 내지 45 중 어느 하나의 요지를 포함하고, 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하기 위한 수단을 추가로 포함한다.Example 46 includes the subject matter of any of Examples 33 to 45 further comprising means for receiving remediation operation instructions for one or more packets from a security server.
예 47은 예 33 내지 46 중 어느 하나의 요지를 포함하고, 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하기 위한 수단을 추가로 포함한다.Example 47 includes the subject matter of any of Examples 33 to 46 and further comprises means for implementing a remediation operation corresponding to the remediation operation instruction.
예 48은 보안 이상의 분산형 검출을 위한 보안 서버를 포함하고, 보안 서버는 컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 신뢰된 실행 환경 모듈; 및 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 컴퓨팅 디바이스로부터 수신하기 위한 통신 모듈을 포함하고, 신뢰된 실행 환경 모듈은 또한 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관한다.Example 48 includes a security server for distributed detection over security, the security server includes a trusted execution environment module for establishing a trusted relationship with the computing device; And a communication module for receiving a security threat assessment of the at least one packet of the inter-virtual network functional network or the inter-virtual network functional component network of the computing device from the computing device, wherein the trusted execution environment module also includes one Correlates the security threat assessment with the security threat database of the security server to determine whether or not the packet takes a security threat.
예 49는 예 48의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함한다.Example 49 includes the gist of Example 48, wherein establishing a trusted relationship includes establishing a trusted relationship with a corresponding trusted execution environment module of the computing device.
예 50은 예 48 및 49 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하는 것은 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 것을 포함한다.Example 50 includes the subject matter of any one of Examples 48 and 49 wherein receiving the security threat assessment includes establishing an out-of-band communication established between the trusted execution environment module of the security server and the corresponding trusted execution environment module of the computing device And receiving a security threat assessment from a corresponding trusted execution environment module of the computing device via the channel.
예 51은 예 48 내지 50 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스와 암호화키를 교환하는 것을 포함한다.Example 51 includes the subject matter of any of Examples 48 to 50, wherein establishing a trusted relationship comprises exchanging an encryption key with a computing device.
예 52는 예 48 내지 51 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립한다.Example 52 includes the subject matter of any of Examples 48-51, wherein the trusted execution environment module also establishes a trusted tunnel with the computing device based on the trusted relationship.
예 53은 예 48 내지 52 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하는 것을 추가로 포함한다.Example 53 includes the subject matter of any of Examples 48-52, wherein establishing a trusted tunnel further comprises receiving a computing device's security policy from the computing device.
예 54는 예 48 내지 53 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하는 것을 추가로 포함한다.Example 54 includes the subject matter of any of Examples 48-53, wherein establishing a trusted tunnel further comprises receiving a heuristic code of a computing device from the computing device.
예 55는 예 48 내지 54 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스에 휴리스틱 코드를 전송하는 것을 추가로 포함한다.Example 55 includes the subject matter of any of Examples 48-54, wherein establishing a trusted tunnel further comprises transmitting a heuristic code to the computing device.
예 56은 예 48 내지 55 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정한다.Example 56 includes the subject matter of any of Examples 48 to 55, wherein the trusted execution environment module also determines a remediation action in response to identifying a security threat based on a correlation of the security threat database and the security threat assessment .
예 57은 예 48 내지 56 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하는 것은 리미디에이션 서버로부터 리미디에이션 결정을 요청하는 것; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 것을 포함한다.Example 57 includes the subject matter of any of Examples 48-56, wherein determining the resolution operation comprises requesting a resolution determination from the resolution server; And receiving remediation instructions associated with the remediation decision from the remediation server.
예 58은 예 48 내지 57 중 어느 하나의 요지를 포함하고, 여기서 통신 모듈은 또한 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송한다.Example 58 includes the subject matter of any of Examples 48-57, wherein the communication module also transmits the remediation instructions to the computing device.
예 59는 보안 서버에 의해 보안 이상의 분산형 검출을 위한 방법을 포함하고, 방법은 보안 서버에 의해, 컴퓨팅 디바이스와 신뢰된 관계를 수립하는 단계; 보안 서버에 의해 그리고 컴퓨팅 디바이스로부터, 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 수신하는 단계; 및 보안 서버에 의해, 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하는 단계를 포함한다.Example 59 includes a method for distributed detection over security by a security server, the method comprising: establishing a trusted relationship with a computing device by a security server; Receiving, by the security server and from the computing device, a security threat assessment of at least one packet of the inter-virtual network functional network or the inter-virtual network functional component network of the computing device; And correlating the security threat assessment with the security threat database of the security server to determine, by the security server, whether the one or more packets take a security threat.
예 60은 예 59의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함한다.Example 60 includes the gist of Example 59, wherein establishing a trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the computing device.
예 61은 예 59 및 60 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하는 단계는 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 단계를 포함한다.Example 61 includes the subject matter of any one of Examples 59 and 60 wherein the step of receiving a security threat assessment comprises the steps of: And receiving a security threat assessment from a corresponding trusted execution environment module of the computing device via the communication channel.
예 62는 예 59 내지 61 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스와 암호화키를 교환하는 단계를 포함한다.Example 62 includes the subject matter of any of Examples 59 to 61, wherein establishing a trusted relationship comprises exchanging an encryption key with a computing device.
예 63은 예 59 내지 62 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립하는 단계를 추가로 포함한다.Example 63 includes the subject matter of any one of Examples 59 to 62 and further comprises, by the security server, establishing a trusted tunnel with the computing device based on the trusted relationship.
예 64는 예 59 내지 63 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하는 단계를 추가로 포함한다.Example 64 includes the subject matter of any of Examples 59 to 63, wherein establishing a trusted tunnel further comprises receiving a security policy of the computing device from the computing device.
예 65는 예 59 내지 64 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하는 단계를 추가로 포함한다.Example 65 includes the subject matter of any of Examples 59 to 64, wherein establishing a trusted tunnel further comprises receiving a heuristic code of a computing device from the computing device.
예 66은 예 59 내지 65 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스에 휴리스틱 코드를 전송하는 단계를 추가로 포함한다.Example 66 includes the subject matter of any of Examples 59 to 65, wherein establishing a trusted tunnel further comprises transmitting a heuristic code to the computing device.
예 67은 예 59 내지 66 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하는 단계를 추가로 포함한다.Example 67 includes the subject matter of any one of Examples 59 to 66, and further comprising, by the security server, determining a resolution operation in response to identification of a security threat based on a correlation between the security threat database and the security threat evaluation .
예 68은 예 59 내지 67 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하는 단계는 리미디에이션 서버로부터 리미디에이션 결정을 요청하는 단계; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 단계를 포함한다.Example 68 includes the subject matter of any of Examples 59 to 67, wherein determining the resolution operation comprises: requesting a resolution determination from a resolution server; And receiving remediation instructions from the remediation server associated with the remediation decision.
예 69는 예 59 내지 68 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송하는 단계를 추가로 포함한다.Example 69 includes the subject matter of any of Examples 59 to 68, further comprising, by the security server, transmitting the remediation instructions to the computing device.
예 70은 프로세서; 및 프로세서에 의해 실행될 때 보안 서버가 예 59 내지 69 중 어느 하나의 방법을 수행하게 하는 복수의 인스트럭션이 그 내에 저장되어 있는 메모리를 포함하는 보안 서버를 포함한다.Example 70 includes a processor; And a security server, when executed by the processor, that includes a memory in which a plurality of instructions for causing the security server to perform the method of any one of Examples 59 to 69 are stored.
예 71은 보안 서버에 의한 실행에 응답하여, 보안 서버가 예 59 내지 69 중 어느 하나의 방법을 수행하게 하는 그 위에 저장되어 있는 복수의 인스트럭션을 포함하는 하나 이상의 기계 판독가능 저장 매체를 포함한다.Example 71 includes one or more machine-readable storage media containing a plurality of instructions stored thereon, in response to execution by a security server, to cause the security server to perform any of the methods of Examples 59-69.
예 72는 보안 이상의 분산형 검출을 위한 보안 서버를 포함하고, 보안 서버는 컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 수단; 컴퓨팅 디바이스로부터, 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 수신하기 위한 수단; 및 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하기 위한 수단을 포함한다.Example 72 includes a security server for distributed detection over security, the security server comprising: means for establishing a trusted relationship with the computing device; Means for receiving a security threat assessment of at least one packet from a computing device, an inter-virtual network functional network of a computing device or an inter-virtual network functional component network; And means for correlating the security threat assessment with the security threat database of the security server to determine whether the one or more packets take a security threat.
예 73은 예 72의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하기 위한 수단을 포함한다.Example 73 includes the gist of Example 72 wherein the means for establishing a trusted relationship comprises means for establishing a trusted relationship with a corresponding trusted execution environment module of the computing device.
예 74는 예 72 및 73 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하기 위한 수단은 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하기 위한 수단을 포함한다.Example 74 includes the subject matter of any one of Examples 72 and 73 wherein the means for receiving the security threat assessment comprises means for determining a bandwidth established between the trusted execution environment module of the security server and the corresponding trusted execution environment module of the computing device And means for receiving a security threat assessment from a corresponding trusted execution environment module of the computing device over an external communication channel.
예 75는 예 72 내지 74 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스와 암호화키를 교환하기 위한 수단을 포함한다.Example 75 includes the subject matter of any of Examples 72-74, wherein the means for establishing a trusted relationship comprises means for exchanging an encryption key with a computing device.
예 76은 예 72 내지 75 중 어느 하나의 요지를 포함하고, 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립하기 위한 수단을 추가로 포함한다.Example 76 includes the subject matter of any of Examples 72-75, further comprising means for establishing a trusted tunnel with the computing device based on the trusted relationship.
예 77은 예 72 내지 76 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하기 위한 수단을 추가로 포함한다.Example 77 includes the subject matter of any of Examples 72-76, wherein the means for establishing a trusted tunnel further comprises means for receiving a computing device's security policy from the computing device.
예 78은 예 72 내지 77 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하기 위한 수단을 추가로 포함한다.Example 78 includes the subject matter of any of Examples 72-77, wherein the means for establishing a trusted tunnel further comprises means for receiving a heuristic code of a computing device from a computing device.
예 79는 예 72 내지 78 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스에 휴리스틱 코드를 전송하기 위한 수단을 추가로 포함한다.Example 79 comprises the subject matter of any of Examples 72-78, wherein the means for establishing a trusted tunnel further comprises means for transmitting a heuristic code to a computing device.
예 80은 예 72 내지 79 중 어느 하나의 요지를 포함하고, 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하기 위한 수단을 추가로 포함한다.Example < RTI ID = 0.0 > 80 < / RTI > further comprises means for determining a remediation action in response to identifying a security threat based on a correlation of the security threat database and a security threat assessment.
예 81은 예 72 내지 80 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하기 위한 수단은 리미디에이션 서버로부터 리미디에이션 결정을 요청하기 위한 수단; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하기 위한 수단을 포함한다.Example 81 includes the subject matter of any of Examples 72 to 80, wherein the means for determining the resuming operation comprises means for requesting a remediation decision from the remediation server; And means for receiving remediation instructions associated with the remediation decision from the remediation server.
예 82는 예 72 내지 81 중 어느 하나의 요지를 포함하고, 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송하기 위한 수단을 추가로 포함한다.Example 82 includes the subject matter of any of Examples 72-81, further comprising means for transmitting the remade instruction to the computing device.
Claims (25)
(i) 보안 서버와 신뢰된 관계를 수립하고, (ii) 상기 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크(inter-virtual network function network) 및 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, (iii) 상기 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 신뢰된 실행 환경 모듈과,
상기 보안 위협 평가를 상기 보안 서버에 전송하기 위한 통신 모듈을 포함하는
컴퓨팅 디바이스.
CLAIMS What is claimed is: 1. A computing device for distributed detection of security anomalies,
the method comprising: (i) establishing a trusted relationship with a security server; (ii) in response to establishing the trusted relationship, at least one of an inter-virtual network function network and an inter- (Iii) a trusted execution environment module for performing a security threat assessment of the one or more packets; and
And a communication module for transmitting the security threat assessment to the security server
Computing device.
상기 신뢰된 관계를 수립하는 것은 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
Wherein establishing the trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the security server
Computing device.
상기 보안 위협 평가를 전송하는 것은 상기 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 상기 보안 서버의 상기 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 것을 포함하는
컴퓨팅 디바이스.
3. The method of claim 2,
Wherein the sending of the security threat assessment comprises communicating with the corresponding trusted execution environment of the security server via an out-of-band communication channel established between the trusted execution environment module of the computing device and a corresponding trusted execution environment module of the security server. Including sending a security threat assessment to the module
Computing device.
상기 신뢰된 관계를 수립하는 것은 상기 보안 서버와 암호화키를 교환하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
Establishing the trusted relationship comprises exchanging an encryption key with the security server
Computing device.
상기 신뢰된 관계를 수립하는 것은 상기 컴퓨팅 디바이스의 신뢰의 루트(root of trust) 및 퓨즈키(fuse key) 중 적어도 하나를 이용하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
Establishing the trusted relationship comprises utilizing at least one of a root of trust of the computing device and a fuse key,
Computing device.
상기 신뢰된 실행 환경 모듈은 또한 상기 신뢰된 관계에 기초하여 상기 보안 서버와 신뢰된 터널을 설립하는
컴퓨팅 디바이스.
The method according to claim 1,
The trusted execution environment module also establishes a trusted tunnel with the security server based on the trusted relationship
Computing device.
상기 신뢰된 터널을 설립하는 것은 상기 컴퓨팅 디바이스의 보안 정책을 상기 보안 서버에 전송하는 것을 추가로 포함하는
컴퓨팅 디바이스.
The method according to claim 6,
Establishing the trusted tunnel further comprises transmitting the security policy of the computing device to the security server
Computing device.
상기 신뢰된 터널을 설립하는 것은 상기 컴퓨팅 디바이스의 휴리스틱 코드(heuristic code)를 상기 보안 서버에 전송하는 것을 추가로 포함하는
컴퓨팅 디바이스.
The method according to claim 6,
Establishing the trusted tunnel further comprises transmitting a heuristic code of the computing device to the secure server
Computing device.
상기 신뢰된 터널을 설립하는 것은 상기 보안 서버로부터 휴리스틱 코드를 수신하는 것을 추가로 포함하는
컴퓨팅 디바이스.
The method according to claim 6,
Establishing the trusted tunnel further comprises receiving a heuristic code from the security server
Computing device.
상기 신뢰된 실행 환경 모듈은 또한 상기 신뢰된 관계의 수립에 응답하여 상기 컴퓨팅 디바이스를 부팅하는
컴퓨팅 디바이스.
The method according to claim 1,
The trusted execution environment module also includes means for booting the computing device in response to establishing the trusted relationship
Computing device.
상기 컴퓨팅 디바이스를 부팅하는 것은 상기 컴퓨팅 디바이스의 구성 정책을 검색(retrieve)하는 것을 포함하는
컴퓨팅 디바이스.
11. The method of claim 10,
Wherein booting the computing device comprises retrieving the configuration policy of the computing device
Computing device.
상기 신뢰된 실행 환경 모듈은 또한 상기 컴퓨팅 디바이스의 실행시간 포스처(runtime posture)를 결정하기 위한 것이고,
상기 보안 위협 평가를 수행하는 것은 상기 실행시간 포스처에 기초하여 상기 하나 이상의 패킷의 보안 위협 평가를 수행하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
The trusted execution environment module is also for determining an execution time posture of the computing device,
Wherein performing the security threat assessment comprises performing a security threat assessment of the one or more packets based on the execution time posture
Computing device.
상기 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 것은 상기 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 것을 포함하는
컴퓨팅 디바이스.
13. The method of claim 12,
Determining an execution time position of the computing device includes determining an execution time position of a virtual network function of the computing device
Computing device.
상기 통신 모듈은 또한 상기 보안 서버로부터 상기 하나 이상의 패킷을 위한 리미디에이션(remediation) 동작 인스트럭션을 수신하는
컴퓨팅 디바이스.
The method according to claim 1,
The communication module also receives a remediation action instruction for the one or more packets from the security server
Computing device.
상기 신뢰된 실행 환경 모듈은 또한 상기 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는
컴퓨팅 디바이스.
15. The method of claim 14,
The trusted execution environment module also performs a remediation operation corresponding to the remediation operation instruction
Computing device.
상기 컴퓨팅 디바이스에 의해, 보안 서버와 신뢰된 관계를 수립하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 보안 위협 평가를 상기 보안 서버에 전송하는 단계를 포함하는
방법.
A method for distributed detection over security by a computing device,
Establishing a trusted relationship with the security server by the computing device;
Reading, by the computing device, one or more packets of at least one of an inter-virtual network functional network or an inter-virtual network functional component network in response to establishing the trusted relationship;
Performing, by the computing device, a security threat assessment of the one or more packets;
And sending, by the computing device, the security threat assessment to the security server
Way.
상기 신뢰된 관계를 수립하는 단계는 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함하는
방법.
17. The method of claim 16,
Wherein establishing the trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the security server
Way.
상기 보안 위협 평가를 전송하는 단계는 상기 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 상기 보안 서버의 상기 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 단계를 포함하는
방법.
18. The method of claim 17,
Wherein the step of transmitting the security threat assessment comprises: sending the security threat assessment to the corresponding trusted execution environment module of the security server via the out-of-band communication channel established between the trusted execution environment module of the computing device and the corresponding trusted execution environment module of the security server. And sending a security threat assessment to the environmental module
Way.
상기 컴퓨팅 디바이스에 의해, 상기 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 단계를 추가로 포함하고,
상기 보안 위협 평가를 수행하는 단계는 상기 실행시간 포스처에 기초하여 상기 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계를 포함하는
방법.
17. The method of claim 16,
Further comprising, by the computing device, determining an execution time position of a virtual network function of the computing device,
Wherein performing the security threat assessment comprises performing a security threat assessment of the one or more packets based on the execution time posture
Way.
상기 컴퓨팅 디바이스에 의해, 상기 보안 서버로부터 상기 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는 단계를 추가로 포함하는
방법.
17. The method of claim 16,
Receiving, by the computing device, remediation operation instructions for the one or more packets from the security server;
Further comprising, by the computing device, performing a remediation operation corresponding to the remediation operation instruction
Way.
컴퓨팅 디바이스에 의한 실행에 응답하여, 상기 컴퓨팅 디바이스로 하여금 제 16 항 내지 20 중 어느 한 항의 방법을 수행하게 하는 복수의 인스트럭션이 저장되어 있는
하나 이상의 기계 판독가능 저장 매체.
At least one machine-readable storage medium,
In response to execution by a computing device, a plurality of instructions are stored that cause the computing device to perform the method of any of claims 16-20
At least one machine readable storage medium.
컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 신뢰된 실행 환경 모듈과,
상기 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 상기 컴퓨팅 디바이스로부터 수신하기 위한 통신 모듈을 포함하고,
상기 신뢰된 실행 환경 모듈은 또한 상기 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 상기 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하는
보안 서버.
A security server for distributed detection,
A trusted execution environment module for establishing a trusted relationship with the computing device,
A communication module for receiving a security threat assessment of at least one of at least one of an inter-virtual network functional network or an inter-virtual network functional component network of the computing device from the computing device,
The trusted execution environment module also correlates the security threat assessment with the security threat database of the security server to determine whether the one or more packets take a security threat
Security server.
상기 신뢰된 관계를 수립하는 것은 상기 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함하고,
상기 보안 위협 평가를 수신하는 것은 상기 보안 서버의 신뢰된 실행 환경 모듈과 상기 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 상기 컴퓨팅 디바이스의 상기 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 것을 포함하는
보안 서버.
23. The method of claim 22,
Establishing the trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the computing device,
Wherein the receiving of the security threat assessment further comprises: receiving, via the out-of-band communication channel established between the trusted execution environment module of the security server and the corresponding trusted execution environment module of the computing device, the corresponding trusted execution environment Including receiving a security threat assessment from a module
Security server.
상기 신뢰된 실행 환경 모듈은 또한 상기 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초한 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하는
보안 서버.
23. The method of claim 22,
The trusted execution environment module also determines a remediation operation in response to identifying a security threat based on a correlation of the security threat database and a security threat assessment
Security server.
상기 리미디에이션 동작을 결정하는 것은
리미디에이션 서버로부터 리미디에이션 결정을 요청하는 것과,
상기 리미디에이션 서버로부터 상기 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 것을 포함하고,
상기 통신 모듈은 또한 상기 리미디에이션 인스트럭션을 상기 컴퓨팅 디바이스에 전송하는
보안 서버.25. The method of claim 24,
The determination of the remediation operation
Requesting a remediation decision from the remediation server,
And receiving remediation instructions from the remediation server associated with the remediation determination,
The communication module also sends the remediation instructions to the computing device
Security server.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462058096P | 2014-09-30 | 2014-09-30 | |
US62/058,096 | 2014-09-30 | ||
US14/513,140 | 2014-10-13 | ||
US14/513,140 US9705849B2 (en) | 2014-09-30 | 2014-10-13 | Technologies for distributed detection of security anomalies |
PCT/US2015/046909 WO2016053514A1 (en) | 2014-09-30 | 2015-08-26 | Technologies for distributed detection of security anomalies |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170038190A true KR20170038190A (en) | 2017-04-06 |
KR101992547B1 KR101992547B1 (en) | 2019-06-24 |
Family
ID=55585738
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020177005493A KR101992547B1 (en) | 2014-09-30 | 2015-08-26 | Technologies for distributed detection of security anomalies |
Country Status (7)
Country | Link |
---|---|
US (2) | US9705849B2 (en) |
EP (3) | EP4246896A3 (en) |
JP (1) | JP6359766B2 (en) |
KR (1) | KR101992547B1 (en) |
CN (1) | CN106716952B (en) |
TW (2) | TWI712291B (en) |
WO (1) | WO2016053514A1 (en) |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
US10303879B1 (en) * | 2014-11-06 | 2019-05-28 | Amazon Technologies, Inc. | Multi-tenant trusted platform modules |
US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
CN104899524B (en) * | 2015-05-25 | 2018-11-27 | 上海兆芯集成电路有限公司 | The method of central processing unit and verifying motherboard data |
US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
US10628764B1 (en) * | 2015-09-15 | 2020-04-21 | Synack, Inc. | Method of automatically generating tasks using control computer |
US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
US10135702B2 (en) | 2015-11-12 | 2018-11-20 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for testing network function virtualization (NFV) |
US9967165B2 (en) * | 2015-12-07 | 2018-05-08 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for packet monitoring in a virtual environment |
US20180034843A1 (en) * | 2016-07-29 | 2018-02-01 | Rohde & Schwarz Gmbh & Co. Kg | Method and apparatus for testing a security of communication of a device under test |
US20180088977A1 (en) * | 2016-09-28 | 2018-03-29 | Mark Gray | Techniques to determine and mitigate latency in virtual environments |
US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
KR20180071679A (en) * | 2016-12-20 | 2018-06-28 | 삼성전자주식회사 | User terminal apparatus and controlling method of thereof |
US11582248B2 (en) | 2016-12-30 | 2023-02-14 | British Telecommunications Public Limited Company | Data breach protection |
WO2018122051A1 (en) * | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Attack signature generation |
US11658996B2 (en) * | 2016-12-30 | 2023-05-23 | British Telecommunications Public Limited Company | Historic data breach detection |
US10691514B2 (en) * | 2017-05-08 | 2020-06-23 | Datapipe, Inc. | System and method for integration, testing, deployment, orchestration, and management of applications |
US10567359B2 (en) * | 2017-07-18 | 2020-02-18 | International Business Machines Corporation | Cluster of secure execution platforms |
US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
US10944650B2 (en) * | 2018-03-29 | 2021-03-09 | Fortinet, Inc. | Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems) |
US11157952B2 (en) * | 2018-04-30 | 2021-10-26 | Affle (India) Limited | Method and system for creating decentralized repository of fraud IPs and publishers using blockchain |
EP3735765A4 (en) * | 2018-06-01 | 2021-01-13 | Huawei Technologies Co., Ltd. | Multiple server-architecture cluster for providing a virtual network function |
US11398968B2 (en) | 2018-07-17 | 2022-07-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure |
US10826943B2 (en) * | 2018-08-21 | 2020-11-03 | At&T Intellectual Property I, L.P. | Security controller |
US11263318B2 (en) * | 2018-11-05 | 2022-03-01 | Red Hat, Inc. | Monitoring a process in a trusted execution environment to identify a resource starvation attack |
BR112021010468A2 (en) * | 2018-12-31 | 2021-08-24 | Intel Corporation | Security Systems That Employ Artificial Intelligence |
CN110034925B (en) * | 2019-01-07 | 2022-03-01 | 创新先进技术有限公司 | Cross-machine-room trusted computing cluster forming and communication method and device |
US11297100B2 (en) | 2019-01-14 | 2022-04-05 | Red Hat, Inc. | Concealed monitor communications from a task in a trusted execution environment |
US11023591B2 (en) * | 2019-01-14 | 2021-06-01 | Nxp B.V. | Data processing system having distributed security controller with local control and method for securing the data processing system |
US11128670B2 (en) * | 2019-02-26 | 2021-09-21 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically remediating a security system entity |
CN109922056B (en) | 2019-02-26 | 2021-09-10 | 创新先进技术有限公司 | Data security processing method, terminal and server thereof |
US11431732B2 (en) * | 2019-07-04 | 2022-08-30 | Check Point Software Technologies Ltd. | Methods and system for packet control and inspection in containers and meshed environments |
EP4005183A4 (en) * | 2019-11-08 | 2022-08-17 | Samsung Electronics Co., Ltd. | Method and electronic device for determining security threat on radio access network |
US11323354B1 (en) | 2020-10-09 | 2022-05-03 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for network testing using switch emulation |
US11483227B2 (en) | 2020-10-13 | 2022-10-25 | Keysight Technologies, Inc. | Methods, systems and computer readable media for active queue management |
US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
WO2023278851A1 (en) * | 2021-07-02 | 2023-01-05 | Commscope Technologies Llc | Systems and methods for secure virtualized base station orchestration |
US11949583B2 (en) * | 2022-04-28 | 2024-04-02 | Hewlett Packard Enterprise Development Lp | Enforcing reference operating state compliance for cloud computing-based compute appliances |
CN115134158B (en) * | 2022-07-04 | 2023-05-23 | 海南大学 | Access management method and device for charging pile cloud platform |
US11853254B1 (en) | 2022-10-07 | 2023-12-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060063347A (en) * | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | Security evaluation system and method for ipv6 network layer by using evaluation rule description language |
US20140137188A1 (en) * | 2012-11-14 | 2014-05-15 | Domanicom Corporation | Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
WO2002003220A2 (en) * | 2000-07-05 | 2002-01-10 | Ernst & Young Llp | Method and apparatus for providing computer services |
US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
US7190678B2 (en) * | 2002-10-28 | 2007-03-13 | Cisco Technology, Inc. | Arrangement for router attachments between roaming mobile routers in a clustered network |
US7496818B1 (en) * | 2003-02-27 | 2009-02-24 | Marvell International Ltd. | Apparatus and method for testing and debugging an integrated circuit |
US7941855B2 (en) * | 2003-04-14 | 2011-05-10 | New Mexico Technical Research Foundation | Computationally intelligent agents for distributed intrusion detection system and method of practicing same |
KR20040102496A (en) | 2003-05-28 | 2004-12-08 | (주)에이치인포메이션 | Mobile Game System And The Method Thereof Using The Key-button Having The Audio Signal Output Function |
US8087057B2 (en) * | 2004-04-28 | 2011-12-27 | Echostar Technologies L.L.C. | Television converter device including an internet protocol interface |
US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
US20070271453A1 (en) * | 2006-05-19 | 2007-11-22 | Nikia Corporation | Identity based flow control of IP traffic |
US7793110B2 (en) * | 2006-05-24 | 2010-09-07 | Palo Alto Research Center Incorporated | Posture-based data protection |
US20140173731A1 (en) * | 2007-07-27 | 2014-06-19 | Redshift Internetworking, Inc. | System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows |
US9369299B2 (en) * | 2008-06-10 | 2016-06-14 | Bradford Networks, Inc. | Network access control system and method for devices connecting to network using remote access control methods |
US8087067B2 (en) * | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
JP5453461B2 (en) * | 2009-03-05 | 2014-03-26 | インターデイジタル パテント ホールディングス インコーポレイテッド | Methods and equipment for H (e) NB integrity verification and validation |
US20110161452A1 (en) * | 2009-12-24 | 2011-06-30 | Rajesh Poornachandran | Collaborative malware detection and prevention on mobile devices |
US8607325B2 (en) * | 2010-02-22 | 2013-12-10 | Avaya Inc. | Enterprise level security system |
US8392344B2 (en) * | 2010-07-14 | 2013-03-05 | Domanicom Corp. | Systems, devices, and methods for providing multiple services to premises over communication networks |
US8010992B1 (en) * | 2010-07-14 | 2011-08-30 | Domanicom Corp. | Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises |
US9117083B2 (en) * | 2011-02-14 | 2015-08-25 | Blackberry Limited | Managing booting of secure devices with untrusted software |
JP5618886B2 (en) * | 2011-03-31 | 2014-11-05 | 株式会社日立製作所 | Network system, computer distribution apparatus, and computer distribution method |
US9161249B1 (en) * | 2011-07-07 | 2015-10-13 | Symantec Corporation | Systems and methods for performing internet site security analyses |
US9767840B2 (en) * | 2011-08-18 | 2017-09-19 | Apple Inc. | Securing protected content during video playback |
US9317689B2 (en) * | 2012-06-15 | 2016-04-19 | Visa International Service Association | Method and apparatus for secure application execution |
US20140270177A1 (en) * | 2013-03-15 | 2014-09-18 | Ernie Brickell | Hardening inter-device secure communication using physically unclonable functions |
US8955144B2 (en) * | 2013-06-28 | 2015-02-10 | Intel Corporation | Protecting information processing system secrets from debug attacks |
US9460286B1 (en) * | 2013-12-19 | 2016-10-04 | Amdocs Software Systems Limited | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network |
CN103763309B (en) * | 2013-12-31 | 2018-03-30 | 曙光云计算集团有限公司 | Safety domain control method and system based on virtual network |
US9400885B2 (en) * | 2014-01-10 | 2016-07-26 | Bitdefender IPR Management Ltd. | Computer security systems and methods using virtualization exceptions |
US9473567B2 (en) * | 2014-08-20 | 2016-10-18 | At&T Intellectual Property I, L.P. | Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system |
US9367343B2 (en) * | 2014-08-29 | 2016-06-14 | Red Hat Israel, Ltd. | Dynamic batch management of shared buffers for virtual machines |
US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
EP3282647B1 (en) * | 2015-04-30 | 2019-12-11 | Huawei Technologies Co. Ltd. | Software security verification method, equipment and system |
US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
US9742790B2 (en) * | 2015-06-16 | 2017-08-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
US9825982B1 (en) * | 2016-04-29 | 2017-11-21 | Ciena Corporation | System and method for monitoring network vulnerabilities |
US20180341494A1 (en) * | 2017-05-26 | 2018-11-29 | Intel Corporation | Accelerating network security monitoring |
-
2014
- 2014-10-13 US US14/513,140 patent/US9705849B2/en active Active
-
2015
- 2015-08-26 JP JP2017516148A patent/JP6359766B2/en active Active
- 2015-08-26 WO PCT/US2015/046909 patent/WO2016053514A1/en active Application Filing
- 2015-08-26 EP EP23190104.2A patent/EP4246896A3/en active Pending
- 2015-08-26 EP EP15847835.4A patent/EP3202096B1/en active Active
- 2015-08-26 CN CN201580046466.8A patent/CN106716952B/en active Active
- 2015-08-26 KR KR1020177005493A patent/KR101992547B1/en active IP Right Grant
- 2015-08-26 EP EP20187958.2A patent/EP3745653B1/en active Active
- 2015-08-28 TW TW106131452A patent/TWI712291B/en active
- 2015-08-28 TW TW104128351A patent/TWI606711B/en not_active IP Right Cessation
-
2016
- 2016-12-31 US US15/396,440 patent/US10469451B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060063347A (en) * | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | Security evaluation system and method for ipv6 network layer by using evaluation rule description language |
US20140137188A1 (en) * | 2012-11-14 | 2014-05-15 | Domanicom Corporation | Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users |
Also Published As
Publication number | Publication date |
---|---|
EP3745653A1 (en) | 2020-12-02 |
CN106716952B (en) | 2020-11-10 |
TWI712291B (en) | 2020-12-01 |
EP3202096A1 (en) | 2017-08-09 |
TW201824837A (en) | 2018-07-01 |
EP4246896A2 (en) | 2023-09-20 |
TWI606711B (en) | 2017-11-21 |
EP3202096A4 (en) | 2018-06-06 |
US20170111382A1 (en) | 2017-04-20 |
US9705849B2 (en) | 2017-07-11 |
KR101992547B1 (en) | 2019-06-24 |
EP3202096B1 (en) | 2022-05-11 |
US10469451B2 (en) | 2019-11-05 |
JP6359766B2 (en) | 2018-07-18 |
TW201626773A (en) | 2016-07-16 |
US20160094573A1 (en) | 2016-03-31 |
EP4246896A3 (en) | 2023-12-20 |
CN106716952A (en) | 2017-05-24 |
WO2016053514A1 (en) | 2016-04-07 |
EP3745653B1 (en) | 2023-09-06 |
EP3745653C0 (en) | 2023-09-06 |
JP2017534106A (en) | 2017-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101992547B1 (en) | Technologies for distributed detection of security anomalies | |
USRE48411E1 (en) | Technologies for secure inter-virtual network function communication | |
US10721258B2 (en) | Technologies for secure personalization of a security monitoring virtual network function | |
US11533341B2 (en) | Technologies for scalable security architecture of virtualized networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |